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当今 世界 的 变化 速度 是 史无前例 的 ， 我 们 的 生活 和 工作 的 每 一 个 方面 都 需要 网 络 连接 和 信息 获取 。 展 
望 未 来 ，ICT 仍然 处 于 快速 创新 的 阶段 ， 移 动 性 、 云 计算 、 大 数据 、 社 区 化 等 ICT 领 域 的 新 趋势 ， 正 在 引领 
ICT 行 业 开 创新 的 格局 ， 与 此 同时 ， 现 实 世 界 也 正在 发 生 深刻 的 数字 化 变革 ， 物 联网 、 电 子 商务 、 数 字 媒 体 
等 正在 促进 传统 产业 不 断 地 升级 和 重 构 。 因 此 ， 以 ICT 产 业 为 代表 的 数据 世界 和 以 传统 产业 为 代表 的 物理 世 
界 的 深度 融合 ， 将 在 不 断 驱 动 全球 经 济 发 展 的 同时 ， 也 将 深刻 地 改变 了 人 们 的 工作 和 生活 ， 数 字 公 民 、 数 
字 企 业 和 数字 社会 正在 形成 ， 必 将 引领 新 的 ICT 变 革 ， 也 必 将 引领 新 的 社会 变革 。 

行业 的 发 展 离 不 开 人 才 的 支撑 ， 产 业 的 变革 也 将 对 ICT 行 业 人 才 的 知识 体系 和 综合 技能 提出 更 高 的 挑 
战 , “知识 融合 、 技 能 跨 界 ”将 成 为 合格 ICT 人 才 的 新 标准 。 基 于 对 未 来 趋势 的 把 握 ， 华 为 致力 于 培养 优秀 的 
ICT 人 才 ， 通 过 华为 ICT 培 训 与 认证 体系 希望 帮助 全 社会 消除 数字 鸿沟 ， 确 保 人 人 享有 信息 、 通 讯 的 基本 权 
利 ， 促 进 ICT 知 识 传递 和 效益 提升 ， 文 撑 ICT 产 业 的 可 持续 发 展 。 

作为 全 球 领先 的 信息 与 通信 和 解决 方案 供应 商 ， 华 为 的 产品 与 解决 方案 已 广泛 应 用 于 金融 、 电 力 、 能 
源 、 交 通 、 企 业 、 运 营 商 、 政 府 等 各 个 行业 。 所 以 ， 华 为 与 行业 专家 、 高 校 老师 合作 编写 了 “华为 ICT 认 证 
系列 从 书 *”， 骨 在 为 广大 用 户 、ICT 从 业者 ， 以 及 愿意 投身 到 ICT 行 业 中 的 人 士 提 供 学 习 帮 助 。《 华 为 交换 机 
学 习 指 南 》 就 是 其 中 一 本 ， 也 是 “华为 ICT 认 证 系列 丛书 ”的 第 一 本 书 。 

《华为 交换 机 学 习 指 南 》 是 我 们 与 国内 资深 网 络 技术 专家 、 业 界 知名 作者 一 一 王 达 老 师 合作 并 出 版 
的 。 这 本 书 是 从 学 习 和 实用 的 角度 ， 基 于 学 习 的 逻辑 对 知识 点 进行 了 系统 的 组 织 编排 ， 书 籍 由 浅 入 深 ， 让 
读者 逐步 构建 起 系统 的 网 络 知识 体系 ; 同时 该 书 在 内 容 上 注重 理论 和 实践 相 结合 ， 既 有 原理 讲解 ， 又 有 配 
置 应 用 ， 让 读者 能 够 学 以 致 用 。 和 希望 王 达 老师 的 《华为 交换 机 学 习 指 南 》 以 及 后 续 的 《华为 路 由 器 学 习 指 
南 》 能 够 帮助 读者 快速 地 学 习 华 为 产品 技术 ， 系 统 地 建立 网 络 知识 体系 ， 使 读者 在 浩瀚 的 知识 海洋 中 找到 
方向 ， 不 断 提 升 ， 在 ICT 行 业 大 展 身手 ! 






















































































































































































































































































































































































































































































华为 企业 业务 集团 CEO 
2013 年 11 月 


本 书 出 版 背景 















































自序 























对 为 华为 公司 是 国内 、 力 


6 场 














自从 笔者 出 版 了 一 些 国际 知名 网 络 广 商 的 设备 配置 与 管理 方面 的 图 书 以 来 ， 一 直 有 读者 在 追问 我 什么 
时 候 写本 华为 公司 网 络 设备 配置 的 图 书 。 
业 ， 有 着 广泛 的 用 户 市 场 。 然 而 在 公开 发 行 的 图 书 
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世界 范围 内 的 网 络 通信 设备 领军 企 
中 专门 针对 华为 公司 网 络 设备 的 图 书 却 难 砚 踪 影 。 


























其 实 笔者 也 的 确 早 有 这 方面 的 考虑 ， 所 以 从 几 年 前 开始 就 一 直 在 留意 、 学 习 华 为 网 络 设备 和 技术 。 而 正好 
































就 在 2012 年 ， 有 六 获得 华为 公司 的 信任 ， 让 笔者 主编 “华为 ICT 认 证 系列 从 书 ” 中 的 两 本 图 书 〈 后 面 还 有 一 本 
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华为 路 由 器 学 习 指南 》) ， 最 终 促成 











了 本 书 的 顺利 出 











老师 和 人 民 邮 出 版 社 的 王建 军 老师 的 高 度 信任 与 大 力 文 持 ! 
































版 上 市 。 在 此 要 特别 感谢 华为 技术 有 限 公 司 的 刘洋 











除了 以 上 所 说 的 用 户 需求 外 ， 本 套 丛 书 的 推出 还 有 一 个 大 环境 的 需求 。 随 着 全 球 信息 化 的 发 展 和 重要 





















































越 重视 采用 本 土 网 络 通信 设备 ， 开 发 自 





























服务 与 支持 


性 的 提升 ， 信 息 化 程度 已 经 成 为 国家 发 展 的 
要 议程 。 所 以 大 家 开始 更 多 地 把 目光 聚焦 于 以 华为 公司 
己 的 核心 技术 ， 许 多 网 络 工程 人 员 也 越 来 越 需要 更 全 面 地 学 习 、 使 
用 本 土产 品 。 这 也 是 催生 本 套 从 书 快速 上 市 的 一 大 














EE 要 指标 ， 


























司 家 都 开始 把 提高 民族 网 络 通信 产品 和 技术 提 上 重 
为 代表 的 网 络 通信 和 领域 民族 品牌 上 ， 许 多 企业 越 来 



























































忆 素 。 








本 书 得 到 了 华为 技术 有 限 公 司 的 许多 专家 的 大 力 帮 





























谢 ! 


















































精力 校 验 ， 但 书 中 仍 可 能 存在 一 些 错误 和 























助 与 指导 ， 并 由 他 们 进行 全 书 内 容 的 正确 性 和 权威 





























性 审核 ， 同 时 也 得 到 了 人 民 邮 电 出 版 社 各 位 编辑 老师 的 支持 ， 在 此 代表 全 体 编 委 成 员 一 并 表示 最 由 更 的 感 





























1 于 编者 水 平 有 限 ， 编 写 时 间 比 较 紧 ， 因 此 尽管 我 们 全 体 编写 人 员 和 出 版 社 编辑 老师 花 了 大 量 时 间 和 


























段 竟 ， 敬 请 各 位 批评 指正 ， 万 分 感谢 ! 大 家 可 以 通过 以 下 渠道 向 





我 们 反馈 ， 提 出 宝贵 意见 。 同 时 我 们 也 将 通过 以 下 渠道 为 大 家 提供 专业 的 服务 ; 
1. 5 个 分 片 的 超级 QQ 读者 群 〈 仅 允许 对 应 加 入 一 个 群 ) 
于 、 内 蒙古 、 北 京 、 天 津 、 河 北 ) : 101580747 
、 安 徽 、 贵 州 ) : 17201450 
、 福 建 、 山 东 、 


E 北 地 区 (包括 黑龙 江 、 吉 林 、 辽 
EE 中 地 区 (包括 河南 、 山 西 、 湖 北 
EE 东 地 区 (包括 上 海 、 浙 江 、 江 苏 
区 
区 
































# 西 地 
E 南 地 
2. 3 个 专家 博客 


J 



































(包括 陕西 、 四 川 、 重 庆 、 
(广东 、 广 西 、 海 南 、 云 南 、 香 港 、 澳 门 ) : 21576699 
































、 湖 南 、 江 








宁夏 、 甘 司 

















51CTO 博 客 : http://winda.blog.51cto.com 
CSDN 博 客 : http://blog.csdn.net/lycb_gz 
ChinaUnix 博 客 : http://blog.chinaunix.net/uid/10659021.html 





3. 2 个 认证 微 博 
新 浪 微 博 : weibo.com/winda 
腾讯 微 博 : t.qq.com/winda2010 
鸣谢 


本 书 由 王 达 主编 并 统 稿 ， 经 过 几 十 位 编 委 、 技 术 专家 整整 一 年 时 间 夜 以 继 日 地 工作 ， 一 次 次 地 严格 审 














由 、 





台湾 ) : 32354930 
青海 、 新 疆 、 西 藏 ) : 54435786 








校 、 修 改 和 完善 ， 这 本 近 千 页 巨 作 终于 完成 ， 并 顺利 高 质量 地 出 版 上 市 。 在 此 感谢 华为 技术 有 限 公司 各 位 
人 民 邮 电 出 版 社 各 位 编辑 老师 ， 以 及 各 位 编 委 的 辛勤 工作 ! 以 下 是 

















专家 慎 密 地 技术 审 校 和 大 力 支持 ， 感 谢 















































参与 本 书 编写 和 技术 审 校 人 员 名 单 。 (排名 不 分 先后 ) 
编 委 人 员 : 何 艳 辉 、 周 健 辉 、 何 江 林 、 李 想 、 郑 达 明 、 蔡 学 军 、 王 爽 、 黄 丽 君 、 

余 志 坚 、 曾 育 文 、 罗 广 平 、 座 小 妹 、 李 峰 、 胡 海 侨 、 罗 巧 芬 、 杨 丽 珍 、 

陈 玉 生 、 刘 胜 华 、 朱 和正 霞 、 刘 云 根 、 卢 众 环 、 陈 妙 娟 、 郑 小 建 、 罗 裕 玲 、 

夏 强 、 谢 桂 安 、 黄 高 福 

技术 审 校 ， 陈 吴 、 刘 立 灿 、 黄 去 、 周 常 青 














































































































































































































































































































































































































































































































































































































































































































































































































本 书 具 有 许多 非常 鲜明 的 特色 : 

e 本 书 是 华为 网 络 设备 技能 认证 、 培 训 的 指定 教材 。 

e 全 国 第 一 本 ， 也 是 目前 唯一 的 大 型 华为 交换 机 配置 与 管理 工具 图 书 

本 书 所 包括 的 内 容 非常 全 面 、 系 统 ， 从 最 基础 的 华为 交换 机 设备 选 型 、VRP 系 统 访问 和 使 用 ， 配 置 文 
件 的 上 传 和 下 载 ， 到 主流 应 用 的 以 太 网 接口 、 以 太 网 链 路 聚合 、iStack 堆 车 、CSS 和 集群 、 各 种 VLAN 划 分 、 
GVRP VLAN 注 册 、VLAN 到 合 、VLAN 了 映射 、MUX VLAN、QinQ、QinQ 映射 、VLAN 间 路 由 、 
STP/RSTP/MSTP、ACL 和 端口 .VYLAN/MAC 地 址 镜像 配置 与 管理 ， 最 后 到 高 端 应 用 的 QoS、IGMP/IGMP 
Snooping/PIM/ 组 播 YLAN、 基 于 MAC 地 址 的 安全 管理 、 基 于 ARP 的 安全 管理 、AAA 访 问 控制 策略 和 802.1x 
认证 、MAC 地 址 认证 和 Portal 认 证 配置 与 管理 等 无 一 不 襄 括 其 中 。 真 正 的 “一 册 在 手 ， 别 无 所 求 ”。 

e 深入 浅 出 的 技术 原理 剖析 与 分 层次 配置 示例 完美 结合 

本 书 不 仅 有 比较 深入 的 各 种 华为 交换 机 技术 原理 的 剖析 ， 而 且 列 举 了 大 量 各 种 不 同 级 别 的 应 用 配置 示 
例 。 这 种 有 机 结合 就 可 以 使 广大 读者 朋友 ， 特 别 是 初级 读者 朋友 不 再 是 孤立 地 学 习 这 些 枯燥 的 技术 原理 ， 
而 是 能 体验 到 这 些 技术 原理 在 实际 工作 中 的 具体 应 用 ， 反 过 来 又 加 深 了 对 这 些 技术 原理 的 理解 。 另 外 ， 书 
中 大 量 的 配置 示例 也 是 分 层次 的 ， 这 样 就 使 读者 朋友 不 仅 可 以 全 面 了 解 各 具体 配置 命令 的 使 用 方法 ， 更 能 
深入 地 理解 不 同 配置 命令 之 间 的 相互 关联 及 应 用 方法 。 

e 综合 配置 思路 分 析 和 详尽 配置 步骤 介绍 完美 结合 

本 书 在 介绍 华为 交换 机 功能 配置 与 管理 时 ， 注 意 配置 思路 分 析 与 配置 步骤 介绍 的 完美 结合 ， 而 不 是 机 
械 地 罗列 出 各 种 功能 配置 步 又。 这样 可 使 读者 朋友 在 “ 知 其 然 ” 的 同时 “ 知 其 所 以 然 ”， 可 以 充分 理解 各 种 具体 
功能 的 基本 配置 和 实现 原理 ， 可 以 在 实际 的 网 络 设备 配置 工作 中 做 到 举一反三 ， 灵 活 应 用 。 

适用 读者 对 象 

本 书 的 内 容 非常 全 面 、 系 统 ， 适 合 于 各 层次 的 读者 ， 具 体 如 下 : 





























e 使 用 华为 交换 机 产品 的 用 户 ; 


e 华为 培训 合作 伙伴 以 及 华为 
院 校 的 计算 机 网 络 专 业 学 生 ; 
e 希望 从 零 学 习 华为 交换 机 配置 与 管理 
e 以 前 没有 系统 学 习 过 华为 交换 机 本 
e 看 不 懂 华 为 交换 机 配置 方案 ， 没 有 掌握 通 
e 希望 有 一 本 可 在 平 有 


。 高 等 








言 息 与 网 络 技术 学 院 的 学 员 ; 





























的 读者 ; 


忆 置 与 管理 


的 读者 ; 
















































































对 工作 中 碍 








j 配 置 方法 的 读者 ; 
的 大 型 华为 交换 机 配置 手册 的 读者 。 





阅 











本 书 介绍 的 交换 机 是 已 广泛 应 上 
市 场 。S9700T 比 特 核心 路 由 交换 机 是 本 











能 交换 机 , 在 提供 








高 特 
会 议 、 无 线 等 多 种 网 络 业 务 。S6700 和 S7700 万 兆 》 
点 ， 可 对 无 线 、 话 音 、 视 频 和 数 和 
入 。S2700 和 S3700 百 兆 接 入 交换 机 为 企业 用 户 提供 














小 企业 、 网 吧 、 酒 
本 书 主 要 内 容 
本 书 是 国内 图 











店 、 学 校 等 





市 场 中 第 一 
















































































































































































融合 网 络 进行 控 人 





曾 。 
层 和 
6 场 开发 的 新 一 代 绿 色 节 能 以 太 接 入 交换 机 。 
























































的 工 











本 专门 介绍 华为 交换 机 配置 与 管理 的 工具 图 书 ， 也 是 华为 ICT 认 放 


j 于 政府、 金融、 能源、 交通、 电力 、 教 育 、 电 信和 运营 商 等 行业 和 企业 

向 下 一 代 园 区 网 核心 和 数据 中 心 业务 汇聚 而 专门 设计 开发 的 高 端 智 

E 能 的 L2/L3 层 交 换 服务 基础 上 ， 进 一 步 融 合 了 MPLS VPN、 硬 件 IPv6、 桌 面 云 、 视 频 
[ 聚 交换 机 广泛 适用 于 园区 网 络 、 数 据 中 心 核心 汇聚 节 





S5700 千 兆 接 入 交换 机 提供 灵活 的 全 千 兆 以 太 网 接 
层 的 百 兆 接 入 能 力 。S1700 SMB 交 换 机 是 为 中 





FE 系列 培训 











教材 。 全 书 共 分 18 章 ， 近 于 页 ， 各 章 基 本 内 容 如 下 。 

第 1 章 : 全 面 介绍 最 新 一 代 Sx700 大 系 中 各 个 系列 (包括 S1700、S2700、S3700、S5700、S6700、S7700 
和 S9700 系 列 ) 和 S9300 系 列 交 换 机 产品 的 主要 特点 、 各 机 型 硬件 配置 和 软件 功能 特性 ， 以 及 主要 应 用 。 

第 2 章 : 全 面 介绍 新 一 代 Sx700 大 系 中 所 使 用 的 VRP5.x 系 统 的 基础 知识 和 基本 使 用 方法 ， 包 括 VRP CLI 
的 使 用 和 视图 ， 以 及 VRP 系 统 软件 、VRP 系 统 配 置 文件 和 和 VRP 文件 系统 管理 等 。 

第 3 章 ; 全 面 介绍 用 户 界面 (包括 Console 用 户 界 面 和 VTY 用 户 界面 )， 用 户 /命令 级 别 、Console 本 地 登 
录 ，Telnet、STelnet、HTTP 和 HTTPS 远 程 登录 ， 以 及 FTP、SFTP、SCP 和 FTPS 远 程 文件 管理 配置 方法 。 

第 4 章 : 全 面 介绍 以 太 网 接口 编号 规则 ，Eth-Trunk 和 E-Trunk 链 路 聚合 原理 ， 基 本 参数 、 接 口 属性 、 端 
口 组 、 端 口 隔 离 、 手 工 配置 Eth-Trunk、LACP Eth-Trunk、Eth-Trunk 子 接口 、Loopback 接 口 、Null 接 口 和 E- 
Trunk 配 置 与 管理 。 

第 5 章 : 全 面 介 绍 iStack 堆 又 和 CSS 集 群 工 作 原理 ， 以 及 堆 芭 卡 /业务 口 1Satck 堆 阁 ， 集 群 卡 /业务 口 CSS 集 
群 配置 与 管理 。 

第 6 章 : 全 面 介 绍 VLAN 基 础 知识 、 二 层 以 太 网 接口 类 型 及 各 自 的 数据 收发 规则 和 GVRP VLAN 注 册 原 
里 ， 以 及 基于 端口 /基于 MAC 地 址 /基于 IP 子 网 /基于 IP 协 议 / 基 于 策略 的 VLAN 划 分 、GVRP VLAN 注 册 、 各 
种 VLAN 间 路 由 方案 (包括 VLANIF 接 口 方 案 、 以 太 网 子 接口 方案 和 VLAN 交 换 方案 ) 和 管理 VLAN 的 配置 
与 管理 。 
第 7 章 : 全 面 介绍 VLAN 聚 合 、MUX VLAN、 基 本 QinQ、 灵 活 QinQ、QinQ 映 射 和 VLAN 映 射 工作 原理 
及 配置 与 管理 。 

第 8 章 : 全 面 介绍 STP、RSTP 和 MSTP 基 础 知识 和 技术 原理 及 配置 与 管理 。 

第 9 章 : 全 面 介 绍 各 种 ACL 类 型 (基本 ACL、 高 级 ACL、 二 层 ACL、 用 户 自 定义 ACL、 自 反 ACL) 的 基 
础 知识 和 各 自 的 配置 与 管理 方法 ， 以 及 ACL 在 简化 QoS 流 策略 中 的 应 用 配置 。 

第 10 章 : 全 面 介 绍 与 QoS 有 关 的 基础 知识 和 技术 原理 ， 包 括 各 种 QoS 优先 级 及 优先 级 映射 和 QoS 流 策 略 
基础 知识 ， 以 及 各 种 流量 监管 、 流 量 整形 、 拥 塞 避免 和 拥塞 管理 技术 原理 。 

第 11 章 : 全 面 介 绍 各 种 QoS 优先 级 映射 、 流 量 监管 、 流 量 整形 、 拥 塞 避 免 、 拥 塞 管理 、 复 杂 QoS 流 策略 
的 配置 与 管理 。 
第 12 章 : 全 面 介绍 在 IPv4 网 络 中 应 用 的 IGMP、PIM (包括 PIM-DM 和 PIM-SM 两 种 模式 ) 、MSDP 三 层 
了 组 播 协议 ，IGMP snooping、 组 播 YLAN 二 层 耳 组 播 协议 的 基础 知识 和 各 自 的 工作 原理 ， 以 及 组 播 路 由 管 
里 原理 。 
第 13 章 : 全 面 介绍 在 IPv4 组 播 网 络 中 主要 应 
的 配置 与 管理 。 

第 14 章 : 全 面 介 绍 端口 镜像 、VLAN 镜 像 和 MAC 地 址 镜像 原理 和 各 自 的 配置 与 管理 。 

第 15 章 : 全 面 介 绍 静态 MAC 地 址 表 项 、 端 口 安全 (包括 动态 安全 MAC 地 址 和 Sticky MAC 地 址 ) 、 
MAC 地 址 防 漂移 、MAC 地 址 漂移 检测 、MAC-spoofing-defend、 端 口 桥 等 功能 的 配置 与 管理 。 

第 16 章 : 全 面 介 绍 防御 ARP 泛 洪 攻 击 〈 包 括 ARP 报 文 限 速 、ARP 表 项 严格 学 习 、ARP 表 项 限制 、ARP 
Miss 消 息 抑制 和 ARP 表 项 老化 等 功能 ) 和 防 ARP 其 骗 攻 击 〈 包 括 ARP 表 项 固化 、 动 态 ARP 检 测 、ARP 防 网 关 
冲突 、 免 费 ARP 报 文 发 送 、MAC 地 址 一 致 性 检查 和 ARP 报 文 合法 性 检查 等 ) 的 配置 与 管理 方法 。 

第 17 章 : 全 面 介绍 本 地 方式 、RADIUS 服 务 器 方式 和 HWTACACS 服 务 器 方式 AAA 访问 控制 方案 〈 包 括 
认证 、 授 权 和 计 费 方案 ) 基础 知识 及 配置 与 管理 方法 。 

第 18 章 : 全 面 介绍 802.1x 认 证 、MAC 地 址 认证 和 Portal 认 证 基础 知识 及 配置 与 管理 方法 。 

阅读 注意 地 方 
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的 IGMP、PIM、IGMP snooping、 组 播 VYLAN 协 议 功 能 










































































































































































































































































在 阅读 本 书 时 ， 请 注意 以 下 几 个 地 方 : 

e 书 中 所 有 讲 到 的 “S 系 列 * 均 仅 指 最 新 的 Sx700 大 系 和 S9300/9300E 系列 产品 。 

e 在 不 同 的 VRP 系 统 版 本 中 存在 Quidway 和 HUAWEI 两 种 缺 省 主机 名 。 

e 为 了 避免 内 容重 复 ， 与 华为 路 由 器 相同 的 功能 部 分 ， 如 DHCP、DNS、 各 种 路 由 协议 、VRRP、 
VPN， 本 书 均 没 有 介绍 ， 请 参见 后 面 即将 出 版 的 《华为 路 由 器 学 习 指南 》 一 书 。 

e 书 中 的 配置 代码 中 ， 粗 体 字 部 分 是 命令 本 身 或 关键 字 选 项 部 分 ， 是 不 可 变 的 ， 斜体 字 部 分 是 命令 或 
者 关键 字 参 数 部 分 ， 是 可 变 的 。 

e 在 介绍 各 种 交换 机 技术 及 功能 配置 说 明 过 程 中 ， 对 于 一 些 需 要 特别 注意 的 地 方 均 以 粗 体 字 格 式 加 以 
强调 ， 以 便 读者 在 阅读 学 习 时 引起 特别 注意 。 

e 在 介绍 各 种 功能 配置 的 过 程 中 针对 不 同 S 系 列 交 换 机 中 相同 功能 的 不 同 配置 方法 或 参数 取 值 范围 做 ] 
特别 说 明 ， 以 便 读者 能 全 面 了 解 不 同系 列 交 换 机 的 不 同 配置 方法 和 参数 取 值 范围 。 

e 在 介绍 各 种 功能 特性 时 明确 列 出 各 个 S 系 列 交换 机 对 这 些 特性 的 支持 情况 ， 以 便 读 者 明确 了 解 自己 所 
使 用 的 机 型 对 相应 特性 的 支持 情况 。 
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必 最 ”区 


























第 1 章 华为 园区 交换 机 的 选 型 和 应 用 




















1.1 华为 园区 交换 机 基础 


























1.1.1 华为 园区 交换 机 概述 








1.1.2 华为 园区 交换 机 的 用 户 定位 


























1.1.3 华为 园区 交换 机 的 命名 规则 


总 











1.2 S1700 系 列 交 选 型 与 应 


1.2.1 S1700 系 列 机 型 及 基本 配置 



































1.2.2 S1700 系 列 交 换 机 的 规格 




















1.2.4 S1700 系 列 交 换 机 的 主要 应 用 











1.3 S2700 系 列 交 换 机 的 选 型 与 应 用 





1.3.1 S2700 系 列 机 型 及 基本 配置 

















1.3.2 S2700 系 列 交 换 机 规格 及 主要 特性 














1.3.3 S2700 系 列 交换 机 的 主要 应 用 








1.4 S3700 系 列 交 的 选 型 与 应 








1.4.1 S3700 系 及 基本 配置 

















1.4.2 S3700 系 列 交 换 机 规格 及 主要 特性 

















1.4.3 S3700 六 主要 应 


1.5 S5700 系 列 交换 机 的 选 型 与 应 用 











1.5.1 S5700 系 列 交 换 机 的 机 型 及 配置 





1.5.2 S5700 系 列 交 换 机 规格 及 主要 特性 














1.5.3 S5700 系 列 交 换 机 的 主要 应 用 











1.6 S6700 系 列 交 换 机 的 选 型 与 应 用 





























1.6.3 S6700 系 列 交 换 机 的 应 用 





1.7 S7700/9300/9700 系 列 交换 机 的 选 型 与 应 用 





1.7.1 S7700/9300/9700 系 列 交换 机 规格 





1.7.2 S7700/9700 系 列 交换 机 的 主要 特性 








1.7.3 S7700 系 列 交换 机 的 应 用 





1.7.4 S9300/9700 系 列 交换 机 的 主要 应 用 























第 2 章 VRP 系 统 基础 及 基本 使 用 











2.1 VRP 系 统 基础 








2.1.1 VRP 系 统 概述 





2.1.2 VRP 命 令 行 格式 约定 





2.1.3 VRP 命 令 行 视 图 





2.1.4 VRP 命 令 级 别 与 用 户 级 别 








2.1.5 VRP 命 令 行 编 : 





2.1.6 VRP 命 令 行 在 线 帮助 

















2.1.7 VRP 命 令 行 的 通用 错误 提示 











2.1.8 VRP undo 命 令 行 





















































2.2.1 查询 命令 行 的 配置 信息 











2.2.2 控制 命令 行 显示 方式 




















2.2.3 过 滤 命 令 行 显示 信息 

















2.3 VRP 文 件 系 统管 理 








2.3.1 VRP 文 件 系 统 概 述 



























































2.3.4 存储 器 管理 


2.4 VRP 系 统 的 组 成 





2.4.1 VRP 系 统 软 件 











2.4.2 VRP 系 统 本 








2.4.3 VRP 系 统 补丁 文件 





2.4.4 启动 BootROM 软 件 


























2.5 管理 











2.5.2 备份 配置 文 






























































第 3 童 VRP 系 统 登 录 及 远程 文件 管理 








3.1 VRP 系 统 首次 登录 











3.1.1 通过 Console 口 登录 





通过 MiniUSB 口 登录 


















































































































































































































































































































































































































































3.3.1 用 户 界面 概述 
3.3.2 用 户 界面 的 编号 
3.3.3 用 户 界面 的 用 户 验证 和 优先 级 

3.4 Console 用 户 界面 配置 与 管理 
3.4.1 配置 Console 用 [的 物理 属性 
3.4.2 配置 Console 用 户 界 面 的 终端 属性 
3.4.3 配置 Console 用 户 界 面 的 用 户 优先 级 
3.4.4 配置 Console 用 户 界 面 的 用 户 验证 方式 
3.4.5 Console 用 户 界面 管理 

3.5 VTY 用 户 界面 配置 与 管理 
3.5.1 配置 VTY 用 户 界面 的 最 大 个 数 











3.5.2 配置 VTY 用 户 田 


























四 的 基于 ACL 的 登录 限 条 


E| 





上 























































































































3.5.3 配置 VTY 用 户 界 面 的 终端 属性 
3.5.4 配置 VTY 用 户 界面 的 用 户 优先 级 
3.5.5 配置 VTY 用 户 界面 的 用 户 验证 方式 
3.5.6 VTY 用 户 界面 管理 
























































3.6.2 配置 用 户 通 过 Telnet 登 录 交 换 机 
































3.6.3 通过 Telnet 登 录 交 换 机 的 配置 示 侦 




















3.6.4 配置 用 户 i 




















前 过 STelnet 登 录 交 换 相 








3.6.5 通过 STelnet 登 录 交 换 机 的 配置 示例 











3.6.6 配置 用 户 通 


























过 HTTP Web 网 管 登录 交换 机 





3.6.7 通过 HTTP Web 网 管 登录 交换 机 的 














配置 示例 








3.6.8 配置 用 户 通 


























过 HTTPS Web 网 管 方式 登录 交换 机 





3.6.9 通过 HTTPS Web 网 











管 登录 交 



































































































































过 FTP 进 行文 件 操 作 的 配置 示例 




















3.7.4 通过 SFTP 进 行文 件 操作 
过 








通过 SFTP 进 行文 件 操 作 的 配置 示例 























3.7.6 通过 SCP 进 行文 件 操作 








3.7.7 通过 FTPS 进 行文 件 操作 











3.7.8 通过 FTPS 进 行文 件 操作 的 配置 示例 




















第 4 章 接口 及 以 太 网 链 







































































路 配置 与 管理 
4.1.1 接口 分 类 
4.1.2 物理 接口 编号 规则 


























4.1.3 接 






































4.1.4 接 





配置 管 

















4.2 以 太 网 接口 属性 














4 配置 示例 




















4.2.1 以 大 网 接口 特性 





























4.2.2 以 太 网 端口 组 配置 与 管理 










































































4.2.3 以 太 网 接口 基本 属性 配置 与 管理 











4.2.4 接口 频繁 Up/Down 故 障 分 析 与 排除 
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4.3.2 端口 隔离 配置 示例 






































4.4.1 以 太 网 子 接口 配置 与 管理 



































4.4.2 Loopback 接 口 配 置 





























4.4.3 配置 NULL 接 口 





























4.5 以 太 网 链 路 聚合 











4.5.1 链 路 聚合 特性 及 产品 支持 











4.5.2 手工 负载 分 担 模 式 链 


















































4.5.3 手工 负载 分 担 模式 链 路 聚合 配置 与 管理 























4.5.4 手工 负载 分 担 模式 链 路 聚合 配置 示例 






























































4.5.7LACP 模 式 的 链 路 聚合 配置 示例 




















4.6 Eth-Trunk 接 口 本 地 流量 优 人 














4.6.1 使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 




















4.6.2 Eth-Trunk 接 口 本 地 流量 优先 转发 配置 示例 











4.7 E-Trunk 

















4.7.1 E-Trunk 配 置 任务 


























4.7.2 FE-Trunk 配 置 : 











网 





























4.8 Eth-Trunk 子 接口 配置 与 管理 












































SEE 上 亡 - 名 生子 田 


第 5 童 交换 机 堆 受 和 集群 本 















































5.1.2 iStack 特 性 的 产品 支书 




















5.2 iStack 配 置 与 管理 










































































5.2.5 双 主 检测 配置 与 管理 











5.2.6 直 连 检测 方式 的 DAD 配 置 示例 















































5.2.7 Relay 代 理 检 测 方式 的 DAD 配 置 示例 


























5.3 CSS 革 看 



























































5.4.1 配置 注意 事项 及 缺 省 配 











ma 
































5.4.2 CSS 和 集群 配置 任务 
































5.4.3 配置 CSS 集 群 


























5.4.4 CSS 集 群 管 : 























5.4.5 集群 卡 连接 方式 CSS 配 置 示 





莹 . 


























5.4.6 业务 口 连 接 方 式 CSS 集 群 配置 示例 























5.4.7 CSS 集 群 直 连 方式 

















5.4.8 CSS 集 群 Relay 代 理 方式 DAD 配 置 示 例 








第 6 音 基本 VLAN 特 性 配置 与 管理 












































6.1 VLAN 基 础 


6.1.1 VLAN 概 述 


6.1.2 




















里 解 VLAN 的 形成 原理 




















6.1.3 VLAN 标 签 


6.1.4 主要 VLAN 特 性 

















6.2 基于 端口 划分 VLAN 


























6.2.2 二 层 以 太 网 链 路 














6.2.3 配置 基于 端口 划分 VLAN 























6.2.4 基于 端口 























6.3 基于 MAC 地 址 划分 VLAN 























6.3.1 配置 基于 MAC 地 址 划分 VLAN 

















6.3.2 基于 MAC 地 址 划分 YLAN 的 配置 














6.4 基于 子 网 划分 VLAN 


























6.4.1 配置 基于 IP 子 网 划分 VLAN 





6.4.2 基于 IP 子 





网 划分 VLAN 廿 





示例 











6.5 基于 协议 划分 VLAN 















































6.6 基于 策略 划分 VLAN 
6.6.1 配置 基于 策略 划分 VLAN 












































6.72VLAN 配 首 
























































6.7.1 常见 VLAN 管 理 命令 




















出 


型 故障 分 析 与 排除 




















6.7.2 上 典 





6.8 GVRP 配 置 与 管 








6.8.1 GVRP 基 础 


























6.8.2 GVRP 工 作 原 理 





6.8.3 使 能 GVRP 功 能 














6.8.4 配置 GVRP 端 口 注册 模式 






































6.8.5 配置 G 

















6.8.6 GVRP 配 置 管 理 









































6.8.7 GVRP 配 置 示例 


6.9 VLAN 间 通信 配置 















































6.9.1 两 种 VLAN 间 通信 方式 


























6.9.2 VLAN 间 通信 方案 及 实现 原理 




















6.9.3 配置 通过 VLANIF 接 口 实现 VLAN 间 通信 
























































6.9.4 通过 VLANIF 接 口 实现 VLAN 间 通 






























































6.9.5 通过 VLANIF 接 


























6.9.6 配置 通过 子 接口 实现 VLAN 间 通信 
























































6.9.7 通过 子 接口 实现 VLAN 间 通信 的 配置 示例 



































6.9.8 配置 通过 VLAN Switch 实现 VLAN 间 通信 


























6.9.9 通过 VLAN Switch 实现 VLAN 间 通信 的 配置 示例 









































6.10 管理 VLANH 



































第 7 音 扩展 VLAN 特 性 配置 与 管理 









































7.1VLAN 聚 合 配置 与 管理 





























7.1.1 普通 VLAN 部 署 的 不 足 





























7.1.2 VLAN 聚 合 及 优势 体现 



































7.1.3 Sub-VLAN 通 信 原 理 




















7.1.5 配置 Sub-VLAN 


























7.1.6 配置 Super-VLAN 

















7.1.7VLAN 聚 合 配置 示例 
































7.2 MUX VLAN 配 置 与 管理 











7.2.1 MUX VLAN 概 述 





7.2.2 配置 MUX VLAN 

















7.2.3 MUX VLAN 配 置 示例 








7.3 QinQ 基 础 








7.3.2 QinQ 封 装 和 终结 




















7.3.3 TPID 的 可 调 值 













































































7.4.1 配置 基本 QinQ 功 能 





7.4.2 配置 外 层 VLAN 标 签 的 TPID 值 





























7.4.3 配置 对 Untagged 数 据 帧 添加 双 层 VLAN 标 签 


























7.4.4 基本 QinQ 配 置 示例 
































inQ 配 置 与 管理 



































7.5.1 配置 基于 VLAN ID 的 灵活 QinQ 



































7.5.2 基于 VLAN ID 的 灵活 QinQ 配 置 





















7.5.3 配置 基于 802.1p 优 先 乡 
































7.5.4 配 置 基于 流 策 略 的 灵活 QinQ 














7.5.5 基于 流 策略 的 灵活 QinQ 配 置 示例 






















































































7.6.2 配置 2 to 1 的 QinQ 了 映射 








7.7VLAN 了 映射 基础 




















7.7.1 VLAN 映 射 原理 











7.7.2 VLAN 了 映射 特性 








置 1 to 1 的 VLAN 了 映射 








7.8.1 配置 基于 VLAN 的 1 to 1 的 VLAN 映 射 




















7.8.2 配置 基于 802.1p 优 先 级 的 1 to 1 的 VLAN 了 映射 


























7.8.3 配置 基于 流 策略 的 1 to 1 的 VLAN 了 映射 

















7.8.4 基于 VLAN 的 1 to 1VLAN 了 映射 配置 示例 





7.9 配置 2 to 1 的 VLAN 了 映射 

















7.9.1 配置 基于 VLAN 的 2 to 1 的 VLAN 映 射 
































7.9.2 配置 基于 流 策略 的 2 to 1 的 VLAN 了 映射 














7.9.3 基于 VLAN 的 2 to 1 的 VLAN 映 射 配置 示例 





























7.10 配置 2 to 2 的 VLAN 了 映射 

















7.10.1 配置 基于 VLAN 的 2to 2 的 VLAN 了 映射 











7.10.2 配置 基于 流 策略 的 2 to 2 的 VLAN 了 映射 




















7.10.3 基于 VLAN 的 2to 2 的 VLAN 了 映射 配置 示 侦 































































































8.1.3 STP 的 3 个 定时 器 





8.1.4 STP BPDU 报 文 





8.1.5 STP 的 不 足 之 处 











8.2 STP 拓 扑 计算 原理 深入 剖析 














8.2.1 生成 树 初始 化 阶段 的 角色 选举 





























8.2.2 拓扑 发 生变 化 后 的 角色 选举 











8.3 RSTP 对 STP 的 改进 











8.3.1 新 增 三 种 端口 角色 
































8.3.2 重新 划分 端口 状态 











8.3.3 BPDU 的 改变 








8.3.4 更 加 快速 的 P/A 收 伍 机 利 








8.3.5 RSTP 的 其 他 收敛 机 制 和 与 STP 的 互 操作 











ss 


8.4 STP/RSTP 配 置 














EL 























8.4.1 STP/RSTP 配 置 ; 


























8.4.2 配置 STP/RSTP 基 本 功能 

















VS 














8.4.3 配置 影响 STP 拓 扑 收 和 敛 的 参数 























8.4.4 STP 配 置 示例 























8.4.5 配置 影响 RSTP 拓 扑 收敛 的 参数 














8.4.6 配置 RSTP 保 护 功能 





























8.4.7 配 置 设备 支持 和 其 























8.4.8 RSTP 功 能 配置 











8.5 MSTP 基 础 





8.5.1 MSTP 产 生 的 背景 











8.5.2 MSTP 基 本 概念 





8.5.3 MSTP 的 端口 角色 


























8.5.4 MSTP 的 端口 状态 与 收敛 机 第 


所 | 








ls 





8.5.5 MSTP 拓 扑 计 和 














8.5.6 MSTP BPDU 报 文 





Lene 


8.6 MSTP 配 置 
































8.6.1 MSTP 基 本 功能 























8.6.2 再 













































































8.6.5 配置 影响 MSTP 拓 扑 收敛 的 参数 























8.6.6 配 置 MSTP 保 护 功 能 






































8.6.7 配置 MSTP 支 持 和 其 他 厂商 设备 互通 的 参数 


















































8.7 STP/RSTP/MSTP 配 置 管理 






































第 9 章 ACL 配 置 与 管理 






































9.1.1 ACL 的 分 类 及 主要 应 用 











9.1.2 ACL 编 号 和 命名 规则 




















9.1.3 ACL 规 则 编号 























9.1.4 ACL 规 则 的 匹配 顺序 











9.2.1 配置 基本 ACL 














9.2.2 配置 高 级 ACL 




















9.2.3 配置 二 层 ACL 
































9.2.4 配 置 用 户 自 定义 ACL 





























9.2.5 ACL 管 理 




















9.3 基于 ACL 的 简化 流 策略 

















9.3.2 配置 基于 ACL 














的 报 文 过 滤 








9.3.3 配置 基于 ACL 



































9.3.4 配置 基于 AcCL 的 流 镜 信 

















9.3.5 配置 基于 ACL 的 重 定向 
























































9.4 ACL 配 置 示例 














9.4.1 基本 ACL 配 置 示 


























配置 
9.4.2 高 级 ACL 配 置 示例 














9.4.3 二 层 ACL 配 置 示 例 


























9.4.4 用 户 自 定义 ACL 配 置 示例 






























































9.5.2 配置 自 反 ACL 























9.5.3 自 反 ACL 配 置 示例 




















第 10 章 QoS 基础 及 技术 原理 




















10.1 QoS 基础 








10.1.1 QoS 概述 











10.1.2 二 层 VLAN 帧 中 的 优先 级 














10.1.3 三 层 IP 报 文 ! 











的 优先 级 





10.1.4 三 种 QoS 服务 模型 





10.1.5 DiffServ 模 型 体系 结构 








10.2 QoS 优 先 级 映射 











有 有 与 802.1p 和 入 队列 索引 的 映射 关系 







































10.3.1 QoS 令 牌 桶 基本 工作 原理 


























10.3.2 单 速率 三 色 标 记 算 法 








10.3.3 双 速 率 三 色 标 记 算法 





10.3.4 流量 监管 








上 一 
2 
Un 
Es 
pal 
WS 
































10.4 拥塞 避免 和 拥塞 管理 
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1.1 Qos 优 先 级 映 和 


















































11.1.1 S2700SL2700E1/2710SI 优 ’ 


























11.1.2 其 他 S2700/3700、S5700SU5700EI5700LI5700S-LI 系列 优先 级 映射 配置 











11.1.3 优先 级 映射 配置 示例 (一 ) 




















11.1.4 S5700HIU5710EI6700/7700/9300/9300E/9700 系列 优先 级 映射 配置 与 管理 



































































































































11.2.5 基于 接口 的 流量 监管 配置 示例 























11.2.6 流量 整形 配置 示例 



















































































11.3 拥塞 避免 和 拥塞 管理 的 配置 与 管理 





11.3.1 尾部 3 























11.3.2 SRED 拥 塞 避免 的 配置 



































11.3.3 WRED 拥 塞 避免 的 配置 与 管理 









































11.3.4 配置 S2700EI 系 列 交 换 机 的 拥塞 管理 















































他 S 系 列 交换 机 的 拥塞 管理 



































11.3.6 拥塞 避免 和 拥塞 管理 综合 配置 示例 (一) 






































入 用 塞 避 免 和 拥塞 管理 综合 配置 示例 (二) 











11.4 复杂 流 策略 配置 与 管理 

















11.4.1 配置 





11.4.2 配置 流行 为 











全 43 了 配置 





11.4.4 应 用 流 策 略 




















的 流量 乡 计 配 置 示例 























-类 的 报 文 过 滤 配 置 示例 


























12.1 IP 组 播 基 础 








12.1.1 IP 网 络 的 3 种 数据 传输 方式 





























12.1.3 典型 IP 组 播 模 型 

















12.1.4 IP 组 播 地 址 














12.1.5 IP 组 # 

















12.2 IGMP 的 3 个 版 本 及 各 自 工 作 原 理 








T 























12.2.1 IGMPv1 工 作 原理 

















12.2.2 IGMPv2 的 改进 

















12.2.3 IGMPv3 的 改进 








12.2.4IGMP SSM Mapping 
































12.2.5 IGMP 典 型 应 月 
































12.3 PIM 基 础 及 工作 原理 

















12.3.1 PIM 基 本 概念 




















12.3.2 PIM-DM 基 本 工作 原 




















12.3.3 PIM-SM (ASM 模 型 ) 工作 原理 




















12.3.4 PIM-SM (SSM 模 型 〉 工 作 原 理 














12.3.5 单 自治 域 PIM-SM 应 用 























12.4 MSDP 基 础 及 工作 原理 




















12.4.1 MSDP 对 等 体 概述 











12.4.2 MSDP 对 等 体 建 立 流程 











12.4.3 基于 MSDP 的 Anycast RP 








12.4.4 组 播 源 信息 在 域 间 的 传递 














12.4.5 SA 消息 转发 的 控制 














12.4.6 MSDP 的 应 用 
































12.5.1 二 层 组 播 概述 








12.5.2 IGMP Snooping/MLD Snooping 基 本 原理 








12.5.3 IGMP Snooping Proxy/MLD Snooping Proxy 基 本 原理 








12.5.4 二 层 组 播 SSM Mapping 








12.5.5 组 播 VLAN 




















12.6 组 播 路 由 管理 
































12.6.1 组 播 路 由 和 转发 

















12.6.2 RPF 检 查 








12.6.4 组 播 负 载 分 担 
































第 13 章 IP 组 播 配置 


















































13.1 IGMP 配 置 与 管理 








13.1.1 IGMP 特 性 的 产品 支持 








13.1.2 配置 IGMP 基 本 功能 











13.1.3 调整 IGMP 性 能 











13.1.4 配置 IGMP SSM Mapping 




















13.1.5 配置 IGMP Limit 























13.1.6 IGMP 管 理 

















13.1.7 IGMP 基 本 功能 配置 示 倍 





























13.1.8 静态 加 入 组 播 组 配置 示 侦 











13.1.9 IGMP SSM Mapping 











13.1.10 IGMP Limit 配 置 示 例 






































13.2 PIM-DM (JIPv4) 配置 与 管理 














13.2.1 PIM-DM (IPv4) 特性 的 产品 支持 











13.2.2 配置 PIM-DM 基 本 功能 











13.2.3 调整 组 播 源 控制 参数 



































13.2.7 调整 状态 刷新 控制 参数 









































13.2.8 调整 断言 控制 参 娄 




















13.2.9 配置 PIM Silent 

















tH 





13.2.10 PIM-DM 管 理 








13.2.11 PIM-DM 基 本 功能 配置 示例 






































13.3 PIM-SM (IPv4) 配置 与 管理 











13.3.1 PIM-SM (IPv4) 











特性 的 产品 








13.3.2 ASM 模 型 PTIM-SM 信 








13.3.3 配置 ASM 模 型 PIM-SM 




















13.3.4 配置 SSM 模 型 的 PIM-SM 

















13.3.5 PIM-SMEE 

















13.3.6 PIM-SM 管 理 








13.3.7 PIM-SM (ASM 模 型 ) 配置 



























































13.3.8 PIM-SM (SSM 模 型 ) 配置 示例 





























13.4IGMP Snooping 配 置 与 管理 














13.4.1 IGMP Snooping 














寺 性 的 产品 支持 








13.4.2 IGMP Snooping 专 











FE 本 功能 配置 

















13.4.3 配置 IGMP Snooping 基 本 功能 











13.4.4 配置 IGMP Snooping Proxy 








13.4.5 配 生 














13.4.6 配置 + 











13.4.7 配置 丢弃 未 知 组 播 流 








13.4.8 配置 成 员 关系 快速 剧 新 

















13.4.9 配置 IGMP Snooping SSM Mapping 

















13.4.10 IGMP Snooping 管 理 











13.4.11 IGMP Snooping 基 本 功能 配 
































13.4.12 通过 静态 端口 实现 二 层 组 播 自 












































13.4.13 IGMP Snooping 查 询 器 的 配置 示例 






































13.5 组 播 YLAN 配 置 与 管理 





























基于 用 户 VLAN 的 组 播 VYLAN 一 对 多 


























13.5.2 配置 基于 接口 的 组 播 YLAN 功 能 











13.5.3 基于 用 户 VLAN 的 组 播 YLAN 配 置 示例 

















13.5.4 基于 接口 的 组 播 YLAN 配 置 示例 
































14.1 镜像 东 丰 



































































































































































































































14.4 VLAN 镜 像 配 置 与 管理 
14.4.1 配置 本 地 VLAN 镜 像 



































14.4.2 配置 远程 VLAN 镜 像 











14.5 MAC 地 址 镜像 配置 与 管理 














14.5.1 配置 本 地 MAC 地 址 镜像 





























址 镜像 配置 示例 






































第 15 章 基于 MAC 地 址 的 安全 配置 与 管理 








账 








15.1 MAC 地 址 表 概 述 





15.1.1 MAC 地 址 表 项 






































15.2.1 配置 三 种 MAC 地 址 表 项 








15.2.2 配置 禁止 MAC 地 址 学 习 功 能 














15.2.3 配置 限制 MAC 地 址 学 习 数量 




















15.2.4 MAC 地 址 表 配 置 管理 





























15.2.6 基于 VLAN 斥 
































15.3 端口 安全 配置 

















二 .31 配音 











15.3.2 配置 Sticky MAC 功 能 






































置 MAC 地 址 防 漂移 
































15.4.2 MAC 地 址 漂移 检测 配置 























15.4.3 配置 MAC-spoofing-defend 功 能 








15.4.4 配置 丢弃 全 零 MAC 地 址 报 文 功能 




















15.4.5 配置 MAC 刷 新 ARP 功 能 

















15.4.6 配置 端口 桥 功 能 




















15.4.7 MAC 防 漂移 配置 




















15.4.8 MAC 地 址 漂移 检测 配置 示例 












































16.1 ARP 安 全 概述 











16.2 配置 防 ARP 泛 洪 攻 击 
































16.2.1 配置 基于 源 MAC 地 址 的 ARP 报 文 限 速 




















16.2.3 配置 基于 全 局 、VLAN 或 者 接口 的 ARP 报 文 限 速 




















16.2.4 配置 ARP Miss 消 息 源 抑制 














16.2.5 配 置 全 局 、VLAN 和 接口 的 ARP Miss 消 息 限 速 











16.2.6 配置 临时 ARP 表 项 的 老化 时 间 








16.2.7 配置 ARP 表 项 严格 学 习 


















































16.3.1 配置 ARP 表 项 固化 














16.3.2 配置 动态 ARP 检 测 








16.3.3 配置 











16.3.4 配置 发 这 





16.3.5 配置 ARP 报 文 内 MAC 地 址 一 致 性 检查 

















16.3.6 配置 ARP 报 文 合法 性 检查 

















16.3.7 配置 DHCP 触 发 ARP 学 习 





















































16.5.1 ARP 安 全 综合 功能 配置 示例 

















16.5.2 防止 ARP 中 间 人 攻击 配置 






































17.1.1 AAA 的 基本 构架 
































17.1.2 AAA 基于 域 的 用 户 管理 




















17.1.3 RADIUS 协议 





17.1.4HWTACACS 协 议 











17.1.5 AAA 特性 的 产品 支持 















































17.2 本 地 方式 认证 和 授权 配置 


17.2.1 配置 AAA 方案 











17.2.2 配置 本 地 用 户 











17.2.3 (可 选 ) 配置 业务 方案 

















由 


17.3RADIUS 方 式 认 证 、 授 权 和 计 费 配置 








17.3.1 配置 AAA 方案 











17.3.2 配置 RADIUS 服务 器 术 











17.3.3 RADIUS 认证 、 授 权 和 计 费 配置 示 侦 














17.4 HWTACACS 方 式 认 证 、 授 权 和 计 费 配置 














1 二 和 











17.4.2 配置 HWTACACS 服 务 器 模板 





和 E 置 示例 








17.4.3 HWTACACS 方 式 认 训 























17.5 AAA 认 证 、 授 权 和 计 费 配置 管理 








只 
陪 



































18.1.1 802.1x 认 证 系统 基础 














18.1.2 802.1x 认 证 原理 











18.1.5 NAC 特 性 的 产品 支持 











18.1.6 各 种 NAC 认 证 方式 的 缺 省 配置 












































18.2 802.1x 认 证 配置 与 管理 






































18.2.3 (可 选 ) 配置 接口 接 入 控制 方 并 

















18.2.4 〈 可 选 ) 配置 用 户 认证 方式 





18.2.5 〈 可 选 ) 使 能 MAC 旁 路 认证 功能 








18.2.6 〈 可 选 ) 配置 接口 允许 接 入 的 最 大 802.1x 认 证 















18.2.8 〈 可 选 ) 配置 802.1x 认 记 











18.2.9 〈 可 选 ) 配置 对 802.1x 认 证 用 户 进 ; 


























18.2.10 〈 可 选 ) 配置 802.1x 在 线 用 户 握手 功能 























18.2.11 











18.2.14 (可 选 ) 配置 802.1x 认 证 的 接口 Open 功 能 











18.2.15 〈 可 选 ) 配置 允许 DHCP 报 文 触 发 802.1x 认 证 














18.2.16 (可 选 ) 配置 单 播报 文 触发 802.1x 认 证 




















18.2.17 〈 可 选 ) 配置 802.1x 快 速 部 署 功 能 





























18.2.18 (可 选 ) 配置 用 户 组 功能 












































18.2.19 802.1x 认 证 配置 管理 











18.2.20 802.1x 认 证 配置 示 们 




















18.3 MAC 认 证 配置 与 管理 























18.3.1 使 能 MAC 认 证 功能 











18.32 《可 选 》 配 
































18.3.3 〈 可 选 ) 配置 MAC 用 户 认证 域 











交口 允许 接 入 的 最 大 MAC 认 证 






































18.3.6 〈 可 选 ) 配置 对 MAC 认 证 














户 进 行 重 认 证 


























18.3.7 MAC 认 证 


和 9 备 
C 置 管理 
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18.3.8 MACihi 


配置 示例 
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18.4 Portal 认 证 配置 与 管理 























18.4.1 配置 Portal 服 务 器 参数 





18.4.2 使 能 Portal 认 证 功能 





18.4.3 〈 可 选 ) 配置 与 Portal 贞 

















18.4.4 〈 可 选 ) 配置 Portal 认 证 用 户 接 入 控制 参数 





























Fk 线 探测 周期 








18.4.6 (可 选 》 配 置 Portal 认 证 近况 








包 四 功 自 习 




















18.4.7 〈 可 选 ) 配置 Portal 认 证 月 
























































18.4.9 Portal 认 证 配置 ; 
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18.4.10 内 置 Portal 服 务 器 认证 配置 示例 











18.4.11 外 置 Portal 服 务 器 认证 














和 有 户 数 








第 1 章 ， 华 为 园区 交换 机 的 选 型 和 应 用 

















1.1 华为 园区 交换 机 基础 
1.2 S1700 系 列 交 换 机 的 选 型 与 应 用 
1.3 S2700 系 列 交 换 机 的 选 型 与 应 用 
1.4 S3700 系 列 交 换 机 的 选 型 与 应 用 
1.5 S5700 系 列 交 换 机 的 选 型 与 应 用 
1.6 S6700 系 列 交 换 机 的 选 型 与 应 用 
1.7 S7700/9300/9700 系 列 交换 机 的 选 型 与 应 用 
华为 公司 园区 交换 机 就 是 其 S 系 列 交 换 机 ， 目 前 最 新 一 代 是 Sx700 系 列 。 它 包括 S1700、S2700、S3700、 
S5700、S6700、S7700 和 S9700 七 大 系列 ， 另 外 S9300 系 列 交 换 机 也 是 目前 主流 高 端 交 换 机 系列 ， 可 全 方位 满 
足 于 个 人 /小 型 企业 用 户 ， 中 小 型 和 大 中 型 企业 园区 网 ， 以 及 各 种 规模 数据 中 心 的 不 同 网 络 环境 、 不 同 应 用 
场景 的 客户 需求 。 
Sx700 系 列 新 一 代 园 区 交换 机 有 一 个 共同 的 特点 ， 那 就 是 绿色 节能 ， 采 用 了 新 型 的 低 噪声 、 低 辐射 、 空 
闲 端 口 休眠 等 自动 节能 技术 的 高 集成 芯片 电路 设计 。 在 工作 层次 方面 ， 从 普通 的 二 层 以 太 网 交换 机 到 三 层 
交换 机 ， 再 到 多 层 路 由 交换 机 ， 支 持 二 至 四 层 各 种 功能 特性 ; 在 端口 带宽 方面 ， 从 百 兆 到 千 兆 、 万 兆 ， 再 
到 最 新 的 10 万 兆 全 面 覆 盖 ， 在 交换 容量 方面 从 几 十 Gbits 到 几 十 Tbits 也 全 面 履 盖 ， 可 满足 所 有 企业 网 、 园 区 
网 和 数据 中 心 用 户 的 各 方面 硬件 配置 、 交 换 / 路 由 功能 和 交换 性 能 需求 。 
本 章 将 重点 介绍 各 大 系列 的 主要 特点 、 机 型 规格 、 主 要 特性 及 主要 应 用 ， 同 时 将 对 一 些 功能 和 应 用 场 
景 类 似 的 交换 机 系列 ， 如 S7700 系 列 、S9300 系 列 和 S9700 系 列 进行 横向 综合 比较 ， 以 便 更 好 地 帮助 用 户 对 华 
为 园区 交换 机 的 选 型 。 


























































































































































































































































































































































































































1.1 华为 园区 交换 机 基础 








华为 公司 的 交换 机 产品 线 非常 齐全 ， 从 大 的 分 类 来 看 主要 分 传统 以 太 网 交换 机 和 当前 热门 的 云 计算 交 
换 机 ， 本 书 仅 介绍 传统 以 太 网 交换 机 ， 也 就 是 华为 的 园区 S 系 列 交换 机 。 











1.1.1 华为 园区 交换 机 概述 
































华为 园区 交换 机 是 针对 各 种 企业 园区 网 而 开发 的 以 太 网 交换 机 产品 系列 ， 又 称 S 系 列 交 换 机 。 目 前 最 新 
的 S 列 是 Sx700 系列 ， 其 中 的 “7” 代 表 产 品 大 系 号 ，“x” 代 表 不 同 的 产品 系列 ， 包 括 S1700、S2700、S3700、 
S5700、S6700、S7700 和 S9700 共 7 个 产品 系列 ， 是 华为 公司 自主 研发 的 新 一 代 绿 色 、 节 能 型 交换 机 系列 产 
品 。 目 前 市 场 上 仍 主流 应 用 的 还 有 S$9300 高 端 T 比 特 路 由 交换 机 。 

这 些 主流 的 华为 $ 系 列 交换 机 的 软 硬 件 配置 、 功 能 ， 以 及 性 能 档次 各 不 相同 ， 定 位 于 不 同 的 用 户 ， 可 全 
下 满足 于 家 庭 网 络 、 中 小 型 企业 园区 网 、 大 型 企业 园区 网 ， 以 及 各 种 规模 的 数据 中 心 等 各 种 网 络 环境 下 ， 
对 交换 机 功能 、 性 能 、 业 务 处 理 、 安 全 和 管理 等 各 方面 的 需求 。 它 们 的 基本 分 类 或 各 系列 的 主要 功能 版 本 
如 图 1-1 所 示 。 











































































































































































































T 比 特 核心 
路 由 交换 机 


百 兆 三 层 交换 机 (支持 千 兆 上 行 ) 
上 


标准 版 (SI1) 


百 兆 二 曾 和 而 


层 交换 机 时 澡 芝 号 oi 


标准 版 (SU 





SOHO 交 换 机 二 二 二 


图 1-1 华为 系列 园 





从 以 上 基本 分 类 可 以 看 出 ，S1700 和 S2700 两 大 系列 都 
主要 定位 于 中 小 型 网 络 的 接 入 层 ， 实 现 百 兆 桌面 接 入 ; S3700 及 以 上 各 大 系列 均 属 于 三 
其 中 S3700 系 列 属于 百 兆 三 层 交 换 机 (支持 千 兆 上 行 )， 主 要 定位 于 中 型 








机 ? 














非 网 管 型 


bt 





3700 系 列 
-增强 版 (ED 


S2700 系 列 
增强 版 (EI) 


S1700 系 列 


S9303 S 加 


PT 


高 级 版 (HD 





网 管 














属于 百 





SD= 国 一 目 目 


S9312 S9703 S9706 S9712 


区 交换 机 的 基本 分 类 





“部 分 机 型 提供 了 和 干 兆 端口) 二 层 交 换 








层 交 换 机 系列 ， 
4 网 络 的 接 入 层 和 小 型 网 络 的 汇聚 











层 ; S5700 系 列 属于 全 干 兆 三 层 交 换 机 《支持 万 兆 上 行 ) ， 主 要 定位 于 大 中 型 网 络 的 汇聚 层 ， 实 现 多 业务 的 








汇聚 与 转发 ， 以 及 中 小 型 数据 中 心 的 接 入 层 ， 实 现 服务 器 的 干 兆 接 入 ; S6700 系列 属于 万 兆 三 
ee 大 中 型 网 络 的 汇聚 层 ， 实 现 多 业务 的 汇聚 








交换 机 集群 ， 同 时 
机 也 可 能 分 为 “ 精 
的 是 ， 这 8 


简 版 ”(LD) 、“ 标 准 版 
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列 交 换 机 均 采 | 





统一 的 VRP 平 台 











定位 于 SOHO 级 应 用 ， 功 能 比较 简单 ， 


ml 














图 1-1 是 从 交换 机 功能 和 性 能 方 I 
境 或 用 户 定 位 来 划分 。 目 前 一 般 的 企业 园 





























区 网 接 入 层 








， 这 使 得 相同 的 功能 在 不 同 的 产品 上 配置 基本 相同 ， 这 样 用户 只 需要 关注 
产品 的 特性 差异 ， 而 不 需要 针对 不 同 的 产品 学 习 不 同 的 配置 方法 。 需 要 六 





一 般 不 需要 配置 或 者 通过 简单 的 Web 配 置 即 可 应 用 。 


掉 对 华为 系列 园区 交换 机 的 基本 分 类 








主要 应 用 的 是 S2700 和 S3700 两 大 系列 ， 汇 聚 层 
用 的 是 S5700 系 列 ， 核 心 层 主要 应 用 的 是 S7700、S9300 和 S9700 系 列 ， 数 据 中 心 接 入 层 主要 应 | 





层 交 换 机 ， 
与 转发 ， 以 及 大 中 型 数据 中 心 的 








生 能 服务 器 的 万 兆 接 入 ;S7700、S9300 和 S9700 系 列 都 属于 T 比 特 路 由 交换 机 ， 提 供 极 高 性 
能 的 业务 数据 处 理 和 路 由 性 能 ， 借 助 于 CSS (Cluster Switch System， 集 群 交换 系统 ) 实现 业界 最 高 性 
消除 单 点 故障 ， 主 要 定位 于 大 型 网 络 的 核心 屋 和 大 型 数据 中 心 的 核心 层 。 同 一 











台 忆 
上 月 已 日 


系列 交换 








“增强 版 ”(EI) 和 “高 级 版 ”CHI) 等 不 同 版 本 。 需 要 注意 
的 版 本 不 是 指 交换 机 的 软件 版 本 ， 而 是 指 不 同 的 硬件 型 号 。 
由 于 应 用 场景 和 产品 定位 不 同 ， 华 为 新 一 代 Sx700 系 列 交换 机 各 子 系列 支持 的 功 





能 有 所 差异 。 但 各 子 系 














FE 意 的 是 S1700 与 其 他 系列 不 同 ， 它 














， 还 可 以 从 交换 机 的 主要 应 用 环 
主要 应 
的 是 S5700 









































和 S6700 系列 ， 数 据 中 心 核心 层 主 要 应 用 的 是 S7700、S9300 和 S9700 系 列 ， 具 体 如 下 。 大 家 可 以 根据 这 些 交 
换 机 的 基本 用 户 定位 进行 华为 园区 交换 机 的 选 型 。 各 系列 交换 机 的 主要 性 能 和 硬件 配置 将 在 本 章 后 面具 体 
介绍 。 

1. 数据 中 心 交 换 机 
根据 数据 中 心 网 络 规模 大 小 和 性 能 要 求 的 高 低 ， 数 据 中 心 的 核心 层 可 以 采用 S9700、S9300 或 7700 系 列 
交换 机 ， 接 入 层 可 以 采用 S6700 或 S5700 系 列 交 换 机 。 其 中 S9700、S9300 和 S7700 三 大 系列 均 是 T 比 特级 的 核 
心路 由 交换 机 ， 不 仅 单 端口 带宽 非常 高 (如 S9700 系 列 最 高 可 达 40Gbit/s〉， 而 且 交 换 能 力 强 (如 S9700 系 列 
最 大 可 达 18.56Tbit/s 交 换 容量 ) ， 可 满足 最 苛刻 的 大 型 数据 中 心 对 端口 带宽 和 交换 性 能 的 要 求 。 接 入 层 的 
S6700 和 S5700 系 列 分 别 是 全 万 兆 和 全 千 光 高 性 能 三 层 交 换 机 ， 最 大 交换 容量 分 别 可 达 960Gbit/s 和 
256Gbit/s， 可 全 面 满足 中 、 小 型 数据 中 心 对 端口 带宽 和 交换 性 能 的 要 求 。 随 着 技术 的 发 展 ， 华 为 公司 还 将 
持续 推出 更 高 性 能 的 交换 机 ， 不 断 满足 数据 中 心 用 户 对 交换 机 端口 带宽 和 交换 性 能 日 益 增长 的 需求 。 

2. 核心 交换 机 
根据 园区 网 络 规模 大 小 和 性 能 要 求 的 高 低 ， 核 心 层 可 以 分 别 采用 S9700、S9300、S7700、S6700、 
S5700 和 S3700 系 列 交换 机 。 其 中 S9700 和 S9300 系 列 可 作为 大 型 园区 网 络 的 核心 交换 机 ; S7700、S6700 系列 

可 作为 中 型 园区 网 络 的 核心 交换 机 ; S5700 和 S3700 系 列 可 分 别 作 为 中 、 小 型 园区 网 络 的 核心 交换 机 。 

3. 汇聚 交换 机 

根据 园区 网 络 规模 大 小 和 性 能 要 求 的 高 低 ， 汇 聚 层 可 以 分 别 采用 S7700、S6700、S5700 和 S3700 系 列 交 
换 机 。 其 中 S7700 和 S6700 系 列 可 作为 大 型 园区 网 络 的 汇聚 交换 机 ; S5700 系 列 可 作为 中 型 园区 网 络 的 汇聚 交 
换 机 ，S3700 系 列 可 作为 中 、 小 型 园区 网 络 的 汇聚 交换 机 。 

4. 接 入 交换 机 

根据 园区 网 络 规模 大 小 和 性 能 要 求 的 高 低 ， 接 入 层 可 以 分 别 采用 S5700、S3700、S2700 和 S1700 系 列 交 
换 机 。 其 中 S5700 系 列 可 作为 大 型 园区 网 络 的 全 干 兆 接 入 交换 机 ; S3700 和 S2700 系 列 可 作为 中 小 型 园区 网 络 
的 百 焰 到 桌面 (支持 千 兆 上行， 的 接 入 交换 机 ，S1700 系 列 可 作为 小 型 园区 网 络 的 百 兆 到 桌面 (部 分 支持 干 
兆 上 行 ) 接 入 交换 机 。 




















































































































































































































































































































































































































































































































1.1.3 华为 园区 交换 机 的 命名 规则 























了 解 设备 的 命名 规则 对 于 一 个 专业 的 网 络 工 程 人 员 来 说 既是 非常 重要 的 ， 也 是 非常 必要 的 ， 因 为 这 样 
就 可 以 直接 从 设备 名 称 中 获知 比较 全 面 的 硬件 配置 信息 ， 以 确定 所 需 选 择 的 机 型 ， 而 不 需要 四 处 查找 每 一 
机 型 的 具体 配置 资料 。 
在 华为 S 系列 园区 交换 机 中 ， 每 个 系列 中 都 有 许多 种 不 同 机 型 ， 特 别 是 像 S1700、S2700、S3700、 
S5700 这 样 应 用 范围 比较 广 、 机 型 比较 多 的 中 低 端 产品 系列 ， 每 个 系列 中 的 每 款 机 型 的 硬件 配置 或 多 或 少 有 
所 不 同 ， 所 以 在 正式 介绍 这 些 交 换 机 系列 前 先 介绍 它们 的 命名 规则 ， 以 便 能 快速 地 进行 华为 $ 系 列 交换 机 选 
型 。 但 因为 不 同系 列 的 主要 应 用 环境 和 所 包括 的 机 型 各 不 相同 ， 所 以 它们 在 命名 规则 上 也 存在 许多 不 同 。 
下 面 分 别 予 以 介绍 。 

1. S1700 系 列 机 型 的 命名 规则 

S1700 系 列 比较 特殊 ， 它 是 专门 为 个 人 和 小 型 企业 用 户 量 身 打造 的 SOHO 级 交换 机 。 由 于 应 用 、 功 能 比 
较 简 单 ， 一 般 不 需要 配置 或 者 通过 简单 的 Web 配 置 即 可 使 用 。 目 前 S1700 系 列 中 ， 网 管 型 和 非 网 管 型 交换 机 
各 有 5 款 机 型 ， 具 体 将 在 本 章 后 面 介绍 。 下 面 以 S1700-8-AC、S1700-28GFR-4P-AC 和 S1700-52FR-2T2P-AC 3 
款 机 型 为 例 介绍 S1700 系 列 交 换 机 的 命名 规则 ， 如 图 1-2 所 示 。 各 部 分 含义 说 明 如 表 1-1 所 示 。 
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S1700-8-AC 


I 
$1700-28GFR-4P-AC 
CDEFGH 1 


S1700-52FR-2T2P-AC 
C EFGHGH 1 


图 1-2 S1700 系 列 交 换 机 的 命名 规则 


表 1-1 S1700 系 列 命名 规则 中 各 部 分 的 含义 


目 


含义 


> 


表示 设备 为 交换 机 


表示 产品 系列 ， 其 中 “17” 表 示 17 系列 ,，“00” 


是 子 系列 号 





表示 最 大 可 用 端口 数 。S1700 系列 交换 机 支持 的 最 大 端口 数 不 同 ， 目 前 分 别 为 8、24、28、52 个 





表示 下 行 端口 类 型 ，G 为 千 兆 端口 。 如 果 无 此 部 分 则 表示 该 机 型 的 下 行 端口 为 百 
表示 设备 的 网 管 类 型 ，F 代表 全 网 管 类 型 ，W 代表 Web 网 管 型 。 无 此 部 分 表示 该 机 型 为 非 


端口 
网 管 机 型 





表示 设备 安装 结构 ，R 表示 为 机 架 型 结构 。 无 此 部 分 表示 该 机 型 为 桌面 型 结构 





表示 上 行 端口 数 





B 
全 
D 
E 
F 
G 
H 


表示 对 应 的 上 行 端口 的 类 型 ， 其 中 T 表示 双 绞 线 以 太 网 电 口 ，P 表示 SFP 模块 光 口 ， 
示 光 口 和 电 口 的 Combo 端口 ， 无 此 部 分 表示 该 机 型 无 上 行 端口 























2. S2700 系 列 机 型 的 命名 规则 
为 了 满足 不 同 用 户 的 需求 ，S2700 系列 提供 了 多 款 机 型 。 下 面 以 S2700-26TP-PWR-EI、S2710-52P-SI- 
AC、S2700-52P-EI-AC 和 S2700-9TP-SI 为 例 介绍 S2700 系列 交换 机 的 命名 规则 ， 如 图 1-3 所 示 。 各 部 分 的 有 具 


体 含义 如 表 1-2 所 示 。 














S2700-26TP-PWR-EI 


ABCDE F G 
S2710-52P-SI-AC 


ABCDEGH 

$2700-52P-EI-AC 
DEGH 

$2700-9TP-SI 


DEG 


表示 设备 的 供电 方式 ， 目 前 S1700 系列 仪 支持 交流 供电 方式 (AC) 


图 1-3 S2700 系 列 交 换 机 的 命名 规则 








表 1-2 S2700 系 列 交 换 机 命名 规则 








表示 设备 为 交换 机 


各 部 分 的 含义 





表示 产品 系列 ， 其 中 “27” 表 示 27 系列 





表示 产品 不 同 子 系列 





表示 最 大 可 用 端口 数 
52 个 


。S2700 系列 交换 机 支持 的 最 大 端口 数 不 同 ， 目 前 分 别 为 9、18、26、 





表示 上 行 端口 的 类 型 ， 其 中 TP 表示 上 行 端口 为 支持 光 口 和 电 口 的 Combo 口 ，P 表示 上 行 


端口 为 光 口 


表示 设备 支持 PoE 供电 ， 无 此 部 分 表示 该 机 型 不 支持 PoE 供电 





表示 设备 软件 版 本 类 型 ， 其 中 EI 表示 设备 为 增强 版 本 ， 


为 基本 版 本 ， 包 含 基础 特性 


包含 某 些 高 级 特性 ，SI 表示 设备 





同样 ， 为 了 满足 不 同 用 户 的 需求 ，S3700 系 列 提供 了 多 款 机 型 





表示 设备 的 供电 方式 ， 其 中 AC 表示 设备 为 交流 供电 ，DC 表示 设备 为 直流 供电 
3. S3700 系 列 交 换 机 的 命名 规则 








4 ， 用 户 可 以 根据 不 同 的 网 络 需 求 进行 灵活 





的 选择 。 下 面 以 S3700-28TP-PWR-EI、S3700-52P-EI-24S-DC、S3700-28TP-EI-MC-AC 和 S3700-28TP-SI-AC 
为 例 介 绍 S3700 系 列 交换 机 的 命名 规则 ， 如 图 1-4 所 示 。 各 部 分 的 具体 含义 如 表 1-3 所 示 。 


S3700-28TP-PWR-EI 


AB CD E F 














S3700-52P-EL-24S-DC 
CDF GH 
S3700-28TP-ELMC-AC 
CH EY H 
S3700-28TP-SI-AC 


GH 


图 1-4 S3700 系 列 交 换 机 的 命名 规则 














表 1-3 S3700 系 列 交 换 机 命名 规则 中 各 部 分 的 含义 


表示 设备 为 交换 机 

表示 产品 系列 ， 其 中 “37” 表 示 37 系列 

表示 最 大 可 用 端口 数 。S3700 系列 交换 机 支持 的 最 大 端口 数 不 同 ， 目 前 分 别 为 28、52 个 
表示 上 行 端口 的 类 型 ， 其 中 P 表示 上 行 端口 为 光 口 ，TP 表示 上 行 端口 为 支持 光 口 和 电 口 
的 Combo 口 
表示 设备 支持 PoE 供电 。 无 此 部 分 表示 该 机 型 不 支持 PoE 供电 

表示 设备 软件 版 本 类 型 ， 其 中 HI 表示 设备 是 高 级 版 本 ， 包 含 高 性 能 OAM、 内 置 RTC 时 钟 等 
特性 ，EI 表示 设备 为 增强 版 本 ， 包 含 某 些 高 级 特性 ，SI 表 示 设 备 为 基本 版 本 ， 包 含 基础 特性 
表示 下 行 端口 的 类 型 ，24S 表示 S3752P-EI-24S 的 24 个 下 行 接口 为 光 口 。 无 此 部 分 表示 该 
机 型 中 所 有 的 下 行 接口 均 为 电 口 

表示 设备 的 供电 方式 ， 其 中 AC 表示 设备 为 交流 供电 ，DC 表示 设备 为 直流 供电 

表示 设备 具有 监控 口 ， 无 此 部 分 表示 该 机 型 无 监控 口 


4. S5700 系 列 交换 机 的 命名 规则 

在 所 有 Sx700 系 列 中 ，S5700 属 于 中 间 档 次 ， 应 用 范围 最 广 ， 所 以 它 的 机 型 非常 多 ， 划 分 了 从 高 到 低 的 
HI、EI、SI 和 LI 4 个 功能 版 本 系列 ， 用 户 可 以 根据 不 同 的 网 络 需 求 进行 灵活 的 选择 。 下 面 以 S5710-28C-EI、 
S5700S-52P-LI-AC、S5700-48TP-PWR-SI、S5700-28C-EI-24S 和 S5700-28C-HI 为 例 ， 介 绍 S5700 系 列 交 换 机 
的 命名 规则 ， 如 图 1-5 所 示 。 各 部 分 的 具体 含义 如 表 1-4 所 示 。 


S5710-28C-El 
ABC EFH 
S5700S-52P-LI-AC 
ABCDEFH 了 
S5700-48TP-PWR-SI 
E GH 
S5700-28C-EL24S 
ER 
S5700-28C-HI 
H 


















































rT 















































图 1-5 S5700 系 列 交 换 机 的 命名 规则 














表 1-4 S5700 系 列 交换 机 命名 规则 中 各 部 分 的 含义 





标号 含义 

A 表示 设备 为 交换 机 

B 表示 产品 系列 ， 其 中 “57” 表 示 57 系列 

© 表示 产品 不 同 子 系列 

D S 表示 该 机 型 为 商业 型 号 

表示 最 大 可 用 端口 数 。S5700 系列 交换 机 支持 的 最 大 端口 数 不 同 ,目前 分 别 为 24、28、48、 
和 2 个 

表示 上 行 端口 的 类 型 ， 其 中 C 表示 设备 支持 插 卡 ， 上 行 端口 为 2，4 或 8; TP 表示 上 行 端 
口 为 支持 光 口 和 电 口 的 Combo 口 ; P 表示 上 行 端口 为 光 口 

G 表示 设备 支持 PoE 供电 。 无 此 部 分 表示 该 机 型 不 支持 PoE 供电 

表示 设备 软件 版 本 类 其 中 EI 表示 设备 为 增强 版 本 ， 包 含 某 些 高 级 特性 ;SI 表示 设备 
H 为 基本 版 本 ,包含 基础 特性 ，HI 表示 设备 是 高 级 版 本 ,包含 高 性 能 OAM、 内 置 RTC 时 钟 
等 特性 ，LI 表示 设备 是 简化 版 本 


表示 下 行 接口 的 类 型 ，24S 表示 S5700-28C-EI-24S 的 24 个 下 行 接口 为 光 口 。 无 此 部 分 表 
示 该 机 型 中 所 有 的 下 行 接口 均 为 电 口 









































J 表示 设备 的 供电 方式 ， 其 中 AC 表示 设备 为 交流 供电 ，DC 表示 设备 为 直流 供电 





5. S6700 系 列 交 换 机 命名 规则 

S6700 系列 属于 中 高 端的 万 兆 以 太 网 交换 机 系列 ， 由 于 应 用 环境 比较 单一 ， 所 以 它 的 机 型 很 少 ， 目 前 
仅 有 S6700-24-EI 和 S6700-48-EI 两 款 机 型 。 因 为 机 型 比较 少 ， 各 机 型 的 功能 极其 相似 ， 所 以 它们 的 命名 规则 
与 前 面 介 绍 的 各 系列 不 一 样 。 下 面 以 S6700-48-EI 为 例 介绍 S6700 设 备 的 命名 规则 ， 如 图 1-6 所 示 ， 各 部 分 的 
具体 含义 如 表 1-5 所 示 。 



































$6700-48-EI 
AB CD 


图 1-6 S6700 系 列 交 换 机 的 命名 规则 











表 1-5 S6700 系 列 交 换 机 命名 规则 中 各 部 分 的 含义 








表示 设备 为 交换 机 





| 表示 产品 系列 ， 其 中 “67” 表 示 67 系列 
| 表示 最 大 可 用 端口 数 。S6700 系列 设备 支持 的 最 大 端口 数 不 同 ， 目 前 分 别 为 24、48 个 
表示 设备 软件 版 本 类 型 ， 其 中 EI 表示 设备 为 增强 版 本 ， 包 含 某 些 高 级 特性 


6. S7700/9300/9700 系 列 交 换 机 的 命名 规则 
在 华为 公司 S 系 列 园 区 交换 机 中 ，S7700、 ee a dt 属于 高 端 





























交换 机 系列 。 它 们 主要 应 用 于 城 域 网 中 的 业务 接 入 、 汇 聚 和 传输 层 ， 作 为 城 域 网 的 接 入 和 汇聚 节点 。 机 箱 

式 结构 可 以 十 分 方便 地 通过 插入 板 卡 进行 端口 或 功 旬 它们 的 命名 规则 也 主要 是 根据 所 配置 的 插 
槽 数 来 区 分 的 ， 很 简单 。 下 面 仅 以 S7706 为 例 介 绍 $S7700/9300/9700 系 列 交换 机 的 命名 规则 ， 如 图 1-7 所 示 ， 

各 部 分 的 具体 含义 如 表 1-6 所 示 。 







































































S7706 
ABC 


图 1-7 S7700/9300/9700 系 列 交 换 机 的 命名 规则 











表 1-6 S7700/9300/9700 系 列 交换 机 命名 规则 中 各 部 分 的 含义 





表示 设备 为 交换 机 





| 表示 产品 系列 ， 其 中 “77” 表 示 77 系列 ，“93 ”代表 93 系列 ,，“97” 代 表 97 系列 
表示 提供 的 业务 板 模 位 数 ， 目 前 分 别 为 3、6、12 个 











1.2 S1700 系 列 交 换 机 的 选 型 与 应 用 








S1700 系列 企业 交换 机 是 华为 公司 专门 针对 个 人 月 
入 交换 机 ， 广 泛 应 用 于 中 小 企业 、 网 吧 、 酒 店 、 学 校 等 以 太 接 入 场景 。 
由 于 功能 简单 ， 所 以 其 网 管 型 交换 机 可 通过 Web 或 者 SNMP 方 式 进行 配置 与 管理 ， 而 不 用 通过 








管 型 两 大 类 。 














CLI 命令 行 界面 以 命令 方式 进行 配置 。 


1.2.1 S1700 系 列 机 型 及 基本 配置 








S1700 系 列 目前 主要 有 10 款 机 型 ， 其 中 网 管 型 和 非 网 管 型 各 5 











表 1-7 S1700 系 列 机 型 及 基本 配置 




















S1700 系 列 交 换 机 分 为 网 管 











有 户 和 小 型 企业 推出 的 新 一 代 绿 色 节能 二 层 以 太 网 接 





型 和 非 网 





款 ， 它 们 的 基本 配置 如 表 1-7 所 示 。 




















型 号 产品 外 观 端口 数 基本 配置 


S1700-8-AC 


。 8 个 10/100Mbit/s 自 适 应 以 
太 网 电 口 

交流 供电 

包 转 发 率 : 1. 

交换 容量 : 1.6Gbit/s 





韭 网管 型 


S1700-24-AC 














24 个 10/100Mbits 自 适 应 
以 太 网 电 
交流 供电 
包 转 发 率 : 3.6Mpps 
交换 容量 : 4.8Gbits 

















( 续 表 ) 





S1700-52R- 
2T2P-AC 


。 48 个 10/100Mbit's 自 适应 
以 太 网 电 口 ,支持 两 个 GE 
电 口 和 两 个 GE 光 口 
交流 供电 
包 转 发 率 : 13.2Mpps 
交换 容量 : 17.6Gbit/s 





非 网 管 型 S1700-8G- 
AC 


8 个 10/100/1000Mbits 自 
适应 以 太 网 电 口 
。 交流 供电 
. 发 
. 





S1724G-AC 





S1728GWR- 


给 刑 
Web 网 管 型 4P-AC 


。 24 个 10/100/1000Mbits 自 
适应 以 太 网 电 口 

。 交流 供电 

。 包 转 发 率 : 36Mpps 

。 交换 容量 : 48Gbit/s 

。 24 个 10/100/1000Mbit/s 自 
适应 以 太 网 电 口 ， 支 持 4 
个 GE SFP 独立 光 口 
交流 供电 
包 转 发 率 : 42Mpps 
交换 容量 ; 56Gbit/s 





S1700-28FR- 
2T2P-AC 


S1700-52FR- 
2T2P-AC 


SNMP 


24 个 10/100Mbits 自 适 应 
以 太 网 电 口 ,支持 两 个 GE 
电 口 和 两 个 GE SFP 光 口 
交流 供电 


48 个 10/100Mbit's 自 适应 
以 太 网 电 口 ,支持 两 个 GE 
电 口 和 两 个 GE SFP 光 口 
交流 供电 

包 转 发 率 : 

交换 容量 : 17.6Gbit/s 





网 管 型 


S1700-28GFR- 
4P-AC 


S1700-52GFR- 
4P-AC 











1.2.2 S1700 系 列 交 换 机 的 规格 








。 24 个 10/100/1000Mbits 自 
适应 以 太 网 电 口 ， 支 持 4 
个 GE SFP 光 口 
交流 供电 
包 转 发 率 : 42Mpps 
交换 容量 : 56Gbit/s 

。 48 个 10/100/1000Mbits 自 
适应 以 太 网 电 口 ， 支 持 4 
个 GE SFP 光 口 

。 交流 供电 


。 交换 容量 : 104Gbit/s 














在 S1700 系列 的 5 款 非 网 管 型 台 交 换 机 中 ，S1700-8-AC、S1700-24-AC 提供 10/100Base-T 以 太 网 电 接 






































口 ，S1700-8G-AC 和 S1724G-AC 提 供 10/100/1000Base-T 以 太 网 电 接 口 ，S1700-52R-2T2P-AC 提供 48 个 





10/100Base-T 以 太 网 电 接 口 、 两 个 10/100/1000Base-T 以 太 网 电 接口 和 两 个 1000Base-X 以 太 网 光 接 口 ，5 款 网 


管 型 交换 机 均 提供 10/100/1000Base-T 以 太 网 电 口 和 1000Base-X 以 太 网 光 口 








Hybrid 等 多 种 接口 类 型 ， 以 及 STP/RSTP 和 MSTP 等 生成 树 技 术 支 持 。 








选择 ， 同 时 支持 Access、Trunk 和 


对 于 千 兆 光纤 连接 ， 非 网 管 型 的 S1700-52R-2T2P-AC 和 5 款 网 管 型 S1700 系 列 交 换 机 均 提供 可 插 拔 的 





SFP 〈Small Form-Factor Pluggable， 小 型 可 插 拔 类 型 光 模 块 ， 光 纤长 度 可 以 根据 月 











有 户 对 传输 





E 离 的 需求 灵 


活 选 配 。 非 网 管 型 S1700 系 列 交 换 机 的 规格 如 表 1-8 所 示 ， 网 管 型 S1700 系 列 交 换 机 的 规格 如 表 1-9 所 示 。 


表 1-8 非 网 管 型 S1700 系 列 交 换 机 的 规格 


S1700-8-AC 


S1700-24-AC 


S1700-52R-2T2P-AC 


S1700-8G-AC 


S1724G-AC 





8 
10/100Mbit's 
电 口 


24 个 
10/100Mbits 
电 口 


48 个 
10/100Mbit/s 
电 口 


8 个 
10/100/1000Mbit/s 
电 口 


pg 
10/100/1000Mbits 
电 口 





无 


两 个 GE 电 口 , 两 个 


GE SFP 光 口 


无 





8kB 
(1k=1024) 


8k 





不 支持 











表 1-9 网 管 型 S1700 系 列 交换 机 的 规格 





支持 

















S1700-28FR- | S1700-52FR- | S1700-28GFR- S1700-52GFR- S1728GWR- 
2T2P-AC 2T2P-AC 4P-AC 4P-AC 4P-AC 
24 个 48 个 24 个 48 个 24 个 
10/100Mbit/s | 10/100Mbit/s | 10/100/1000Mbit/s | 10/100/1000Mbit/s | 10/100/1000Mbit/s 
电 口 电 口 电 口 电 口 电 口 
个 GE 个 GE i oi Oa 
| | 支持 3 个 支持 4 个 支持 4 个 
端口 GE SFP 光 口 | GESFP 交 口 GE SFP 光 口 GE SFP 光 口 GE SFP 光 口 
MAC 
地 址 表 8k 8k 8k 8k 8k 
EEE 不 支持 不 支持 支持 支持 支持 























1.2.3 S1700 网 管 型 交换 机 的 主要 特性 
































尽管 S1700 系 列 交 换 机 不 支持 VRP 系 统 ， 但 其 中 的 网 管 型 交换 机 仍 可 通过 Web 方 式 提供 可 全 面 满 足 中 小 
型 企业 接 入 层 交 换 机 所 需求 的 功能 特性 ， 如 支持 基本 的 VLAN 划 分 、STP/RSTP; 支持 Access、Trunk 和 
Hybrid 端口 类 型 ， 支 持 端口 汇聚 、IGMP Snooping 组 播 、QoS、802.1x 认 证 和 AAA 访问 控制 策略 等 。S1700 网 


管 型 交换 机 的 主要 特性 如 表 1-10 所 示 。 

















表 1-10 S1700 网 管 型 交换 机 的 主要 特性 


网 管 类 型 


Web 网 管 型 交换 机 
( 仅 S1728GWR-4P-AC 机 型 ) 特性 


SNMP 网 管 型 交换 机 特性 





VLAN 


。 支持 256 个 VLAN 


e 支持 Access、Trunk 和 Hybrid 端口 类 型 


。 支持 管理 VLAN 和 Voice VLAN 


支持 4k (1k =1024，4k =4096) 个 VLAN 
支持 Access、Trunk 和 Hybrid 端口 类 型 
支持 管理 VLAN 和 Voice VLAN 





STP 


支持 STP(IEEE 802.1d) 和 RSTP(IEEE 


802.1w) 


支持 STP、RSTP 和 MSTP (IEEE 802.1s) 














端口 汇聚 


。 支持 12 组 汇聚 组 ， 每 组 最 多 8 个 端 ! 


e。 支 持 静态 LACP 





端口 镜像 


支持 基于 端口 的 双向 流量 镜像 





。 支持 基于 端口 的 双向 流量 镜像 
。 镜像 端口 支持 Trunk 类 型 








端口 带宽 


控制 


支持 对 出 入 端口 的 报 文 流量 进行 限 速 ， 粒 度 最 小 为 64kbits 





广播 风暴 
抑制 


。 支持 基于 端口 速率 的 风暴 抑制 


。 支持 端口 流量 达到 风暴 抑制 门限 时 发 送 告警 





组 播 


支持 IGMP Snooping， 最 多 支持 256 个 


组 播 组 


。 支持 IGMP Snooping, 最 多 支持 256 个 组 播 组 


支持 用 加 快速 离 尖 机 制 





QoSs 


。 支持 绝对 优先 级 、WRR 两 种 调度 方式 


。 支 持 每 端口 4 个 队列 
支持 根据 802.1p/DSCP 队列 调度 


支持 绝对 优先 级 、WRR 两 种 调度 方式 
支持 每 端口 8 个 队列 
支持 根据 802.1p/DSCP 队列 调度 





安全 特性 


支持 基于 端口 的 MAC 过 滤 ， 以 及 


802.1x 认证 和 RADIUS 认证 
支持 端口 隔离 


支持 硬件 ACL 

支持 基于 端口 的 MAC 过 滤 ， 以 及 MAC 认 
证 、802.1x 认证 和 RADIUS 认证 

支持 端口 隔离 和 风暴 抑制 

支持 系统 自 防御 , 防止 广播 流 、ARP、ICMP、 
TCP、 虫 病毒 、DOS 等 攻击 CPU 

支持 DHCP Snooping 





支持 Web 网 管 
支持 DHCP-client 
支持 一 键 还 原 


支持 SNMP、Web 网 管 (支持 HTTPS) 方式 
支持 DHCP-client 

支持 用 户口 令 保 护 

支持 一 键 还 原 





设备 维护 





支持 Syslog (系统 日 志 ) 


支持 Ping 检测 和 VCT (Virtual Cable 


Test， 虚 拟 电缆 检测 


支持 链 路 层 发 现 协议 LLDP (Link 


Layer Discovery Protocol) 


1.2.4 S1700 系 列 交换 机 的 主要 应 用 








S1700 系列 交换 机 是 专门 为 中 小 型 企业 、 









































支持 RMON (Remote Network Monitoring， 
远程 网 络 监控 ) 


e 支持 Syslog 


支持 Ping 检测 /Traceroute 和 VCT 
支持 链 路 层 发 现 协议 LLDP 








则 要 选择 网 管 型 的 S1700 系 列 交换 机 。 














1 可 通过 百 兆 / 千 兆 电 口 《不 同 机 型 配置 有 不 同类 型 的 端 





酒店 、 学 校 网 络 的 接 入 层 而 开发 的 ， 所 以 它 主 要 工作 在 中 小 
型 网 络 的 接 入 层 。 对 网 管 功能 需求 不 高 的 环境 ， 可 以 选择 非 网 管 型 的 S1700 系 列 交换 机 ， 对 需要 像 VYLAN 划 
分 、STP/RSTP、QoS 之 类 的 网 管 功能 的 环境 ， 
在 企业 园区 网 接 入 层 中 的 应 用 
人 S1700 系列 交换 书 





口 ， 参 见 表 





1-8 和 表 1-9)〉 接 入 终端 用 户 ， 上 行 通过 千 兆 光 口 或 百 兆 / 干 光电 口 接 入 汇聚 层 交 换 机 ， 进 而 通过 千 光 捆绑 或 


万 兆 上 联 到 骨干 网 络 ， 构 成 万 兆 骨 干 
求 。 网 管 型 交换 机 可 满足 中 小 型 网 络 对 基本 交换 机 功能 的 配置 与 管理 需求 。 此 种 应 月 


1-8 所 示 。 


























骨干 网 






S1700 系 列 交换 机 
pha iad 


100/100Mbit/s 








3 S1700 系 列 交换 机 
| 汇聚 层 交换 机 


一 一 


100/1000MbiVs 








干 、 百 兆 到 桌面 的 企业 网 全 网 解决 方案 ， 满 足 用 户 高 带宽 、 多 业务 的 需 
的 基本 网 络 结构 如 图 








图 1-8 S1700 系 列 的 企业 园区 网 的 接 入 层 应 用 示例 




















2. 在 小 型 酒店 和 学 校 网 络 中 的 应 用 

S1700 系列 交换 机 除了 在 企业 园区 网 接 入 层 的 应 用 外 ， 还 可 在 一 些小 型 酒店 网 络 和 小 型 学 校 网 络 中 得 
到 全 面 应 用 (可 部 署 在 接 入 层 或 汇聚 层 ， 甚 至 核心 层 ) 。 图 1-9 所 示 为 S1700 系 列 交 换 机 在 小 型 酒店 网 络 中 
的 应 用 示例 ， 图 1-10 所 示 为 S1700 系 列 交换 机 在 小 型 学 校 网 络 中 的 应 用 示例 。 
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图 1-9 S1700 系 列 交换 机 在 小 型 酒店 网 络 中 的 应 用 示例 
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图 书馆 教室 多 媒体 教室 实验 室 


图 1-10 S1700 系 列 交 换 机 在 小 型 学 校 网 络 中 的 应 用 示例 












































3. 在 多 样 化 桌面 终端 接 入 方面 的 应 用 
除 上 述 普通 的 网 络 接 入 功能 外 ， 还 可 利用 S1700 网 管 型 交换 机 提供 的 Voice VLAN 等 功能 ， 连 接 VoIP 网 
关 或 IP 电 话 ， 轻 松 提供 多 样 化 的 桌面 接 入 功能 ， 如 图 1-11 所 示 。 






















































S1700 网 管 型 系列 交换 机 


代理 PC ”IP 电话 。 代理 PC ”IP 电话 ”代理 PC 下 电 话 


图 1-11 S1700 网 管 型 系列 交换 机 在 多 样 化 终端 接 入 方面 的 应 用 示例 








1.3 S2700 系 列 交 换 机 的 选 型 与 应 用 

S2700 系列 企业 交换 机 是 华为 公司 推出 的 新 一 代 绿 色 节 能 的 以 太 网 智能 二 层 百 兆 《多 数 有 千 兆 上 行 端 
口 ) 接 入 交换 机 。 它 与 上 节 介 绍 的 S1700 系列 交换 机 一 样 ， 也 主要 定位 于 企业 园区 网 的 接 入 层 。 与 S1700 系 
列 相 比 ，S2700 基 于 华为 领先 的 VRP 平 台 开 发 ， 集 成 了 新 一 代 交 换 技术 ， 具 有 更 强 的 多 业务 接 入 能 力 、 良 好 
的 扩展 性 、 丰 富 的 QoS 策略 、 强 大 的 组 播 复制 能 力 和 运营 级 的 安全 性 ， 可 满足 以 太 网 多 业务 承载 和 接 入 需 


1.3.1 S2700 系 列 机 型 及 基本 配置 


目前 S2700 系 列 主要 机 型 如 表 1-11 所 示 ， 分 为 标准 版 SI) 和 增强 版 (CEI) 两 种 功能 版 本 。 相 比 于 
S2700-SI 系 列 ，S2700-EI 系 列 增加 了 对 QinQ、ACL、802.1x 等 高 级 特性 的 支持 。 
















































































表 1-11 S2700 系 列 机 型 及 基本 配置 


产品 外 观 端口 数 基本 特性 


S2700-9TP_SLAC 。 8 个 10/100Base-TX 端口 ，1 个 千 兆 Combo 
口 (10/100/1000Base-T 或 100/1000Base-X， 

- 下 二 F 同 ) 
BON LE ERAG 。 EI 版 本 提供 交流 供电 和 直流 供电 两 种 机 





型 ，SI 版 本 和 PWR 机 型 提供 交流 供电 ， 
S2700-9TP-ELDC pW lA bE 

。 转发 性 能 : 2.7Mpps 

S2700-9TP-PWR-EI E . 。 交 换 容量 : 32Gbits 











( 续 表 ) 


| 可 | 产品 外 观 | 端 D 数 | 基本 特性 


个 se-TX 端口 ，2 个 千 兆 口 
A 16 个 10/100Base-TX 端口 , 2 个 干 兆 Combo 


。 转发 性 能 ;5.4Mpps 
. 





S2700-18TP-EI-AC 交换 容量 : 32Gbit/s 


16 个 10/100Base-TX 端口 ，4 个 千 兆 SFP， 
2 个 复 用 的 千 兆 10/100/1000Base-T 以 太 网 


S2750-20TP-PWR- ee 20 端口 Combo 口 
EI-AC ER vv | 交流 供电 ， 支 持 PoE+ 


。 转发 性 能 : 8.4Mpps 
交换 容量 : 32Gbits 


"| Gee 
;| 。24 个 101100Base-TX 端口 , 2 个 千 兆 Combo 口 


S2700-26TP-EI-AC 
。 EI 版 本 提供 交流 供电 和 直流 供电 两 种 机 


26 。 |。 型 ，SI 版 本 和 PWR 机 型 提供 交流 供电 ， 
:7026mEDc | EE PWR 机 型 还 支持 PoE+ 
。 转 发 性 能 ，6.6Mpps 


S2700-26TP- 。 交换 容量 : 32Gbit/s 
PWR-EI Ea WR 而 本 昌 - 

















S2750-28TP-ELAC 。 24 个 10/100Base-TX 以 太 网 端口 ，4 个 千 
兆 SFP,2 个 复 用 的 千 兆 10/100/1000Base-T 
S2750-28TP- 28 以 太 网 端口 Combo 口 
PWR-EL-AC ns 。 交流 供电 ，PWR 机 型 还 支持 PoE+ 
S2751-28TP- . 转发 性 能 : 9.6Mpps 
PWR-EI-AC 。 交换 容量 : 32Gbit/s 
S2710-52P-SI-AC 。48 个 10/100Base-TX 端口 ,2 个 100/1000Base- 
S2700-52P-EI-AC X SFP 端口 ，2 个 1000Base-X SFP 模块 上 
行 端口 
S2710-52P- | 52 NA Ee 
PWR-SI . 交流 供电 ， PWR 机 型 还 支持 PoE+ 
S2710-52P- 。 转 发 性 能 : 13.2Mpps 
PWR-EI 。 交换 容量 : 32Gbit/s 














1.3.2 S2700 系 列 交换 机 规格 及 主要 特性 

















S2700 系 列 交 换 机 提供 10/100Base-T 以 太 网 电 口 和 100/1000Base-X 以 太 网 光 口 ， 支 持 Access、Trunk 和 
Hybrid 等 多 种 接口 类 型 。 对 于 千 兆 光纤 连接 ，S2700 系 列 交换 机 提供 了 可 插 拔 的 SFP 类 型 光 模 块 ， 光 纤长 度 
可 以 根据 用 户 对 传输 距离 的 需求 灵活 选 配 。 表 1-12 列 出 了 SI 和 EI 两 种 功能 版 本 机 型 的 S2700 系 列 机 型 规格 及 
主要 特性 。 

说 明 

表 中 的 S2700-EI* 是 增强 型 系列 交换 机 的 统称 ，S2700-SI* 是 标准 型 系列 交换 机 的 统称 ，S2710-SI* 是 
S2700-SI 的 一 个 子 系列 。S2700-9TP-SI 是 S2700-9TP-SI-AC 的 简写 ， 因 产品 版 本 和 采用 的 供电 模式 无 关 ， 
此 在 描述 产品 规格 时 ， 产 品 机 型 名 称 上 没有 注 明 AC 或 DC， 其 他 型 号 产品 同 理 。 
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表 1-12 S2700 系 列 交换 机 的 规格 及 主要 特性 


S2700-El* S2700-SI*/S2710-SI* 


® S2700-9TP-S1/S2700-9TP-E1/S2700-9TP-PWR-EI: 8 个 10/100Base-TX 端口 
se S2700-18TP-SUS2700-18TP-EI: 16 个 10/100Base-TX 端口 

® S2700-26TP-S1/S2700-26TP-E1/S2700-26TP-PWR-EI: 24 个 10/100Base-TX 端口 
e S2710-52P-SI/S2700-52P-EI: 48 个 10/100Base-TX 端口 

® S2700-9TP-S1/S2700-9TP-E1/S2700-9TP-PWR-EI: 1 个 GE Combo 端口 

。 S2710-52P-SI/S2700-52P-EI: 2 个 100/1000Base-X，2 个 1000Base-X 端口 
。 其 他 机 型 : 2 个 GE Combo 端口 

支持 8k MAC 地 址 表 

支持 手工 添加 、 删 除 MAC 地 址 表 

支持 MAC 地 址 老化 时 间 可 配置 

支持 端口 /聚合 组 关闭 学 习 MAC 能 力 

支持 端口 MAC 地 址 数 限制 

支持 黑洞 MAC 地 址 

整 机 支持 4k (1k=1024) 个 VLAN 

支持 基于 端口 的 VLAN 

支持 基于 MAC 地 址 划分 VLAN 

支持 基于 端口 的 QinQ 

支持 端口 限 速 和 流 限 速 

支持 每 端口 4 个 或 8 个 优先 级 队列 

支持 根据 报 文 802.1p 映射 到 不 同 队 列 

支持 SP、WRR、SP+WRR 算法 

支持 基于 源 MAC 地 址 、 目 的 MAC 地 址 、 源 IP 地 址 、 目 的 

IP 地 址 、 四 层 端 口 、 协议 类 型 、VLAN、 以 太 网 帧 协议 、CoS 

等 信息 的 QoS 流 分 类 

支持 基于 流 的 802.1p 优先 级 报 文 重 定向 

支持 IPv6 主机 功能 

支持 配置 静态 路 由 


。 支持 IPv6 ACL 
。 支持 IGMP vl/v2/v3 Snooping 
。 支持 捆绑 端口 的 组 播 负载 分 担 
。 支持 基于 端口 的 组 播 流速 率 限 制 和 流量 统计 
| 支持 妆 DL 或 Wl 镜像 
支持 基于 流 镜像 
。 支持 802.1x 认证 ， 支 持 单 端口 最 大 用 户 数 限制 
。 支持 动态 ARP 检测 
e 支持 IP Source Guard 功能 
支持 Radius、HWTACACS+、NAC 等 多 种 AAA 认证 方式 
支持 人 P 地 址 、MAC 地 址 、 交 换 机 端口 和 VLAN ID 的 组 合 绑 定 
支持 端口 限 速 
支持 端口 隔离 、 端 口 安全 、Sticky MAC 
支持 包 过 滤 
支持 MAC 地 址 过 滤 
支持 多 播 、 广 播 及 未 知 单 播报 文 抑制 
支持 MAC 地 址 学 习 数 目 限制 
支持 CPU 保护 功能 








和 | 











。 支持 端口 隔离 

。 支持 多 播 、 广 播 及 
未 知 单 播报 文 抑制 

。 支持 CPU 保护 功能 


| 项目 | S2700Er |sz7oosws271osr | 
支持 堆 芝 

支持 自动 配置 功能 
支持 CLI 配置 

支持 Telnet 远程 配置 
支持 SNMPvl/v2/v3 
支持 RMON 

支持 集群 管理 HGMPv2 
支持 SSHv2 

支持 Web 管理 特性 
支持 GVRP 协议 





1.3.3 S2700 系 列 交 换 机 的 主要 应 用 





S2700 系 列 交 换 机 与 上 节 介 绍 的 S1700 系 列 交换 机 一 样 ， 都 是 定位 于 企业 园区 网 的 接 入 层 ， 但 是 由 于 
S2700 系 列 交 换 机 集成 了 华为 的 VRP 系 统 ， 所 以 在 功能 上 更 加 强大 ， 有 着 更 广泛 的 应 用 ， 可 作为 大 多 数 企 业 











园区 网 的 接 入 层 交 换 机 。 
1. 在 企业 园区 网 接 入 层 的 应 用 



































图 1-12 所 示 为 S2700 系 列 交 换 机 作为 企业 园区 网 接 入 层 的 一 
































过 百 兆 电 口 接 入 终端 用 户 ， 上 行 通 过 干 兆 光 口 或 千 兆 电 口 接 入 汇 
联 到 骨干 网 络 ， 构 成 万 兆 骨 干 、 干 兆 汇 聚 、 百 兆 到 桌面 的 企业 网 全 




















的 需求 。 














1。 在 本 示例 中 ， S2700 系列 交换 机 通 
聚 层 交换 机 ， 进 而 通过 于 兆 捆绑 或 万 兆 上 
网 解决 方案 ， 满 足 用 户 高 带宽 、 多 业务 
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图 1-12 S2700 系 列 交换 机 在 企业 园 








省 图 兰 轿 症 




















的 应 用 示例 


























2. 在 多 样 化 桌面 终端 接 入 方面 的 应 用 






































一 部 分 S2700 系 列 机 型 提供 PoE 功 能 ， 且 同时 支持 802.3af 标 准 
供电 ， 如 802.11n AP、 彩 色 监 控 摄 像 头 〈Color Camera) 、RF 读 卡 器 (RF Card Reader) 等 ， 可 用 来 构建 智 





























能 的 ， 无 线 、 有 线 一 体 化 的 企业 园区 网 。 












































图 1-13 所 示 为 S2700 在 多 样 化 桌面 终端 接 入 方面 的 一 个 应 用 示例 。S2700 通 过 百 兆 





和 802.3at 标 准 ， 可 为 各 种 大 功率 的 PD 设 备 






































接 入 终端 用 户 ， 

















是 











绑 或 万 兆 上 联 到 骨干 网 络 ， 构 成 万 兆 骨 




















上 行 通过 于 兆 光 口 或 千 兆 电 口 接 入 汇聚 层 交 换 机 ， 进 而 通过 于 
于 、 百 兆 到 桌面 的 企业 网 全 网 解决 方案 。 在 接 入 层 通 过 PoE+ 功 能 接 入 各 种 PD 设备 。 
另外 ，S2700 系 列 交换 机 支持 基于 端口 或 基于 MAC 地 址 划分 VLAN ( 仅 EI 版 本 机 型 支持 基于 MAC 地 址 



















































































划分 VLAN) 、Voice VLAN 〈 可 以 接 入 VoIP 设备 ) ; 支持 Radius、HWTACACS+、NAC (网 络 访问 控制 ) 
等 多 种 AAA 认 证 方式 ;支持 IP 地 址 、MAC 地 址 、 交换 机 端口、 VLANID 的 组 合 绑 定 ， 支 持 端口 限 速 ; 支持 











端口 隔离 、 端 口 安全 、Sticky MAC， 文 持 包 过 滤 ， 文 持 MAC 地 址 过 滤 等 安全 功能 ， 可 以 轻松 地 提供 多 样 化 






































的 泉 面 接 入 功能 ， 特 别 是 在 移动 用 户 较 多 、 需 要 部 署 多 种 用 户 访 问 控 制 方案 的 网 络 环境 中 。 











RF Card Reader 帮 
a on — 者 Color Camera 


pC IP Phone Notebook 









































图 1-13 S2700 系 列 交换 机 在 多 样 化 桌面 终端 接 入 方面 的 应 用 示例 





1.4 S3700 系 列 交 换 机 的 选 型 与 应 用 














前 面 介绍 的 S1700 和 S2700 系 列 都 是 属于 二 层 以 太 网 交换 机 ， 从 S3700 系 列 开始 ， 都 是 三 层 以 太 网 交换 机 
了 。S3700 系 列 交换 机 基于 新 一 代 高 性 能 硬件 和 华为 VRP 软 件 平 台 ， 主 要 定位 于 企业 园区 网 汇聚 层 或 者 接 入 
层 。 它 可 提供 简单 便利 的 安装 维护 手段 、 灵 活 的 VLAN 部 署 、PoE 供 电能 力 、 丰 富 的 路 由 功能 和 IPv6 平 滑 升 
级 能 力 ， 并 通过 融合 堆 又 、 虚 拟 路 由 器 匈 余 、 快 速 环 网 保护 等 先进 技术 有 效 增强 网 络 健壮 性 。 



















































































1.4.1 S3700 系 列 机 型 及 基本 配置 
目前 S3700 系 列 的 主要 机 型 如 表 1-13 所 示 ， 分 成 标准 版 (SI) 、 增 强 版 “EI〉 和 高 级 版 (HI〉3 种 功能 











本 。 


表 1-13 S3700 系 列 机 型 及 基本 配置 











产品 外 观 端口 数 基本 配置 

e 22 个 10/100Base-TX 端口 ，2 个 千 兆 Combo 
口 (10/100/1000Base-T 或 100/1000Base-X， 

6 下 同 )， 上 行 支持 2 个 1000Base-X 择 卡 

| 5 。 双 电 源 ， 可 插 拔 ， 可 选 直流 或 者 交流 供电 

。 包 转 发 率 : 9.3Mpps 

。 交换 容量 : 64Gbits 

















S3700-26C-HI 














( 续 表 ) 


S3700-28TP- 


SI-AC 


S3700-28TP- 24 个 10/100Base-TX 端口 ，2 个 1000Base-X 
ELEAC SFP 端口 ，2 个 千 兆 Combo 口 
分 交流 供电 和 直流 供电 两 种 机 型 
S70028Tr- 人 
交换 容量 : 64Gbit/s 
S3700-28TP- 
EI-DC 











24 个 10/100Base-TX 端口 ，2 个 1000Base-X 
端口 ，2 个 千 : 中 ，2 个 览 控 记 
i Se 2 个 千 兆 Combo 口 ， 2 个 监控 口 
| 交流 供电 
EI-MC-AC 
包 转 发 率 : 9.6Mpps 
交换 容量 :64Gbit/s 
24 个 10/100Base-TX 端口 ，2 个 1000Base-X 
SFP 端口 ，2 个 千 兆 Combo 口 
S970 28 IR 双 电 源 ， 可 插 拔 ， 交 流 供电 ， 支 持 PoE+ 
PWR-EI i St 
包 转 发 率 : 9.6Mpps 
交换 容量 : 64Gbits 
24 个 100Base-FX SFP 端口 , 2 个 1000Base-X 
SFP 端口 ，2 个 千 兆 Combo 口 














S3700-28TP- 交流 供电 


EI-24S-AC 
包 转 发 率 : 9.6Mpps 


交换 容量 : 64Gbits 


Sa 3 48 个 10/100Base-TX 端口 ,2 个 100/1000Base-X 
i SFP 端口 ，2 个 1000Base-X SFP 端口 
AG ee 分 交流 供电 和 直流 供电 两 种 机 型 ， 其 中 SI 
和 PWR 机 型 采用 交流 供电 ,PWR 机 型 还 支 
S3700-52P- 
ELDC 持 PoE+ 
包 转 发 率 :， 13.2Mpps 


St 交换 容量 : 64Gbit/s 








S3700-52P- 48 个 100Base-FX SFP 端 口 ,2 个 100/1000Base-X 
EL48S-AC SFP 端口 ，2 个 1000Base-X SFP 端口 
分 交流 供电 和 直流 供电 两 种 机 型 
S3700-52P- 包 转 发 率 ，13.2Mpps 
EL48S-DC 交换 容量 ，64Gbits 
24 个 10/100Base-TX 端口 ，24 个 100Base-FX 
SFP 端口 ，2 个 100/1000Base-X SFP 端口 ， 
2 个 1000Base-X SFP 端口 
分 交流 供电 和 直流 供电 两 种 机 型 
ns 包 转 发 率 ，13.2Mpps 

交换 容量 : 64Gbits 


S3700-52P- 
El-24S-AC 











1.4.2 S3700 系 列 交 换 机 规格 及 主要 特性 





S3700 系 列 交 换 机 中 的 STI、EI 和 HI 3 个 版 本 的 机 型 规格 及 主要 功能 如 表 1-14 所 示 。 表 中 的 S3700-SI* 是 
标准 型 系列 交换 机 的 统称 ，S3700-EI* 是 增强 型 系列 交换 机 的 统称 ， S3700-HI* 是 高 级 型 系列 交换 机 的 统 
称 。 





表 1-14 S3700 系 列 交 换 机 规格 及 主要 功能 


S3700-S" | sso0Er | sara 





® S3700-28TP-EI/S3700-28TP-SIS3700-28TP-PWR-EIS3700-28TP-ELMC:24 个 10/100Base- 
TX 端口 

® S3700-52P-EL/S3700-52P-S1/S3700-52P-PWR-E1: 48 个 10/100Base-T 端口 

se S3700-28TP-EI-24S: 24 个 100Base-FX 端口 

® S3700-52P-EI-24S: 24 个 10/100Base-T 端口 和 24 个 100Base-FX 端口 

。S3700-52P-EI-48S: 48 个 100Base-FX 端口 

e S3700-26C-HI: 22 个 10/100Base-T 端口 

e SIEI28 口 设备 : 2 个 1000Base-X 端口 ，2 个 GE Combo 端口 

se SIE1 52 口 设备 : 2 个 100/1000Base-X 端口 ，2 个 1000Base-X 端口 

。 S3700-26C-HI: 2 个 GE Combo 端口 

S3700-26C-HI 提 供 一 个 扩展 揪 横 ， 支 持 上 行 插 卡 

。 支持 16k MAC 地 址 表 

支持 MAC 地 址 自动 学 习 和 老化 支持 32k MAC 地 址 表 ， 其 他 功能 同 

支持 静态 、 动 态 、 黑 洞 MAC 表 项 EI 版 本 机 型 

支持 源 MAC 地 址 过 滤 





支持 4k (1lk=1024) 个 VLAN 

支持 GuestVLAN、Voice VLAN、SuperVLAN 
支持 基于 MAC 地 址 /IP 协议 /IP 子 网 划分 VLAN 
支持 QinQ 功能 

支持 灵活 QinQ 功能 

支持 11 和 NI VLAN Mapping 功能 





可 靠 性 


支持 RRPP 环 型 拓扑 、 相 交 环 和 多 实例 等 功能 ， 且 故障 保护 切换 时 间 低 于 50ms 
支持 SmartLink 树 型 拓 朴 及 SmartLink 多 实例 ， 提 供 主 备 链 路 的 毫秒 级 保护 
支持 STP、RSTP 和 MSTP 协议 
S3700-26C-HI 支持 ERPS 以 太 环 保护 协议 
支持 BPDU 保护 、 根 保护 和 环 回 保护 
支持 SEP (Smart Ethernet Protection， 智 能 以 太保 护 ) 
支持 BFD For OSPF/ISIS/VRRP/PIM 功能 
支持 静态 路 由 、RIP vl/v2、ECMP 
OSPF、 IS-IS、 BGP 





支持 ND、PMTU 

支持 IPv6 Ping、IPv6 Tracert、IPv6 Telnet 

支持 手动 配置 Tunnel 

支持 6to4 tunnel 

支持 ISATAP tunnel 

支持 基于 源 IPv6 地 址 、 目 的 IPv6 地 址 、 四 层 端 口 、 协 议 类 型 等 ACL 

支持 MLD v1/v2 Snooping (Multicast Listener Discovery snooping， 组 播 侦 听 者 发 现 


支持 kk 的 组 播 组 
e 支持 IGMP vUv2/v3 Snooping 和 快速 离开 
机 制 支持 2k 的 组 播 组 ， 其 他 功能 同 EI 
。 支持 组 播 VLAN 和 跨 VLAN 组 播 复 制 版 本 机 型 
。 支持 捆绑 端口 的 组 播 负载 分 担 
。 基于 可 控 组 播 和 基于 端口 的 组 播 流量 统计 


支持 IGMP vl/v2/v3、PIM-SM、PIM-DM、PIM-SSM 





QoS'/ACL 


人 


S3700-SI* S3700-El* S3700-HI* 


支持 对 端口 接收 和 发 送 报 文 的 速率 进行 限制 
支持 报 文 重 定向 


支持 基于 端口 的 流量 监管 ， 支 持 双 速 三 色 CAR 功能 ， 每 端口 支持 8 个 优先 级 队列 


支持 WRR、DRR、SP、WRR 十 SP、DRR+SP 等 队列 调度 算法 
S3700-26C-HI 机 型 支持 WRED 
支持 报 文 的 802.1p 和 DSCP 优先 级 重新 标记 


支持 二 到 四 层 包 过 滤 功 能 ， 提供 基于 源 MAC 地 址 、 目 的 MAC 地 址 、 源 他 地 址 、 


目的 下 地 址 、 四 口 、 协 议 、VLAN ID 的 非法 帧 过 滤 功 能 
支持 基于 队列 限 速 和 端口 流量 整形 功能 





管理 和 
维护 





. 
. 
全 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 
全 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 
. 





支持 用 户 分 级 管理 和 口令 保护 

支持 防止 DoS 攻击 、ARP 攻击 、ICMP 攻击 功能 

支持 IP 地址 、MAC 地 址 、 交 换 机 端口 、VLAN ID 的 组 合 绑 定 
支持 端口 隔离 、 端 口 安全 、Sticky MAC 

支持 黑洞 MAC 地 址 

支持 MAC 地 址 学 习 数 目 限 制 

支持 IEEE 802.1x 认证 ， 支 持 单 端口 最 大 用 户 数 限 制 

支持 Radius、HWTACACS 等 多 种 AAA 认证 方式 

支持 SSH V2.0 

支持 CPU 保护 功能 

支持 黑 名 单 和 白 名 单 

支持 智能 堆 悄 〈S3700-26C-HI 机 型 除外 ) 

支持 MFF 

支持 Telnet 远程 配置 、 维 护 

支持 自动 配置 功能 

支持 VCT〈 虚 拟 电线 检测 ) 

支持 以 太 网 OAM (运行 、 管 理 和 维护 ， 即 802.3ah 和 802.1ag 标准 ) 
S3700-28TP-EI-MC-AC 和 S3700-26C-HI 支持 断 电 告警 功能 
支持 端口 镜像 和 RSPAN (远程 端口 镜像 ) 

支持 SNMPv1/v2/v3 

支持 RMON 

支持 MUX VLAN 特性 

支持 GVRP 协议 

支持 eSight 网 管 系统 和 Web 管理 特性 

支持 自动 配置 、 集 群 管理 HGMP 

支持 SSH V2 

S3700-26C-HI 支持 HTTPS 

S3700-26C-HI 支持 802.3az 能 效 以 太 网 EEE 





1.4.3 S3700 系 列 交换 机 的 主要 应 用 
































S3700 系 列 交 换 机 是 三 层 交 换 机 系列 ， 它 可 以 应 用 的 领域 相对 本 章 前 面 介 绍 的 S1700 和 S2700 二 层 交 换 机 


系列 来 说 更 加 广 些 ， 既 可 以 作为 大 型 企业 园区 网 的 接 入 层 交 换 设备 ， 又 可 作为 中 小 型 企业 园区 网 的 





层 ， 甚 至 核心 层 交 换 设备 。 

















1. 在 大 型 企业 园区 网 接 入 层 的 应 用 
S3700 系 列 交换 机 可 以 作为 大 型 企业 园区 网 的 接 入 层 交 换 设备 。 如 图 1-14 所 示 ， 在 这 个 大 型 企业 网 络 
中 ，S3700 系列 交换 机 作为 各 部 门 网 络 的 接 入 层 设备 ， 实 现 百 兆 桌面 接 入 ， 然 后 通过 上 行 的 汇聚 层 交 换 机 








S5700 系 列 交 换 机 与 核心 层 交 换 机 S9700 系 列 交 换 机 连接 。 
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图 1-14 S3700 系 列 交换 机 在 大 型 网 络 接 入 层 的 应 用 示例 





2. 在 中 小 型 企业 园区 网 核心 层 的 应 用 
S3700 系列 交换 机 还 可 用 于 中 小 企业 网 络 的 核心 设备 ， 通 过 它 的 路 由 功能 实现 跨 网 段 的 部 门 和 用 户 的 
互 访 ， 如 图 1-15 所 示 。 多 台 S3700 系 列 交换 机 之 间 还 可 以 使 用 堆 受 技术 实现 设备 性 能 和 端口 的 同步 扩展 。 












































图 1-15 S3700 系 列 交换 机 在 中 小 型 网 络 核心 层 的 应 用 示例 





1.5 S5700 系 列 交 换 机 的 选 型 与 应 用 








S5700 系列 交换 机 是 华为 公司 为 满足 大 带宽 接 入 和 以 太 网 多 业务 汇聚 而 推出 的 新 一 代 绿 色 节 能 的 全 干 
兆 以 太 网 交换 机 。 它 基于 高 性 能 硬件 芯片 和 华为 公司 领先 的 VRP 软 件 平台 ， 有 具备 大 容量 、 高 密度 干 兆 端 
口 ， 可 提供 万 兆 上 行 ， 充 分 满足 企业 用 户 的 园区 网 接 入 、 汇 聚 、IDC 王 兆 接 入 以 及 干 兆 到 桌面 等 多 种 应 用 场 
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1.5.1 S5700 系 列 交 换 机 的 机 型 及 基本 配置 





S5700 系 列 交 换 机 分 为 LI[、SI、EI 和 HI 4 种 功能 版 本 ， 满 足 于 不 同 用 户 的 需求 。 这 些 机 型 的 外 观 及 基本 
配置 如 表 1-15 所 示 。 





表 1-15 S5700 系 列 交 换 机 的 机 型 及 基本 配置 


so rac OP-LI-AC 
S5700-10P-PWR- 
Ere -AC 


sssrrae TIAC 


S5700-28TP- 
ILAC 
S5700-28TP- 
PWR-LI-AC 
S5701-28TP- 


S5700-52P-LIAC 
S5700-52P-LI-DC 
S5700-52X- 
LI-AC 


。 8 个 10/100/1000Base-T 端口 ，2 个 
1000Base-X SFP 端口 
交流 供电 ，PWR 机 型 支持 PoE+ 


24 个 10/100/1000Base-T 端口 ,4 个 
1000Base-X SFP 端口 
分 交流 供电 和 直流 供电 两 种 机 型 ， 


24 个 10100/1000Bace 芽 珊 口 .4 不 

10GE SFP+ 端 口 

分 交流 供电 和 直流 供电 两 种 机 型 ， 
元 余 电源 


26 个 10/100/1000Base-T 端口 , 2 个 
复 用 的 干 学 a SFP 口 ,2 个 
1000Base-X 
交流 供电 ， 将 RPS 元 余 电 源 ， 
PWR 机 型 还 支 竺 PoE+ 
包 转 发 率 : 42Mpps 
交换 容量 : 208Gbit's 
24 个 10/100/1000Base-T 端口 ,4 个 
1000Bzse-X SFP 端口 
交流 供电 ,支持 RPS 元 余 电 源 和 PoE+ 
包 转 发 率 : 42Mpps 
交换 容量 ，208Gbit's 
24 个 10/100/1000Base-T 端口 ,4 个 
10GE SFP+ 端 口 
交流 供电 ,支持 RPS 元 余 电 源 和 了 PoE+ 
包 转 发 率 ，96Mpps 
交换 容量 ，256Gbitls 
8 个 10/100/1000Base-T 端 口 ,4 个 
1000Base- SFP 端口 
分 交流 供电 和 直流 供电 两 种 机 型 ， 
支持 RPS 元 余 电源 
包 转 发 率 : 78Mpps 

。 交换 容量 : 256Gbitis 
48 个 10/100/1000Base-T 端口 ,4 个 
10GE SFP+ 端 口 
分 交流 供电 和 直流 供电 两 种 机 型 , 支 
持 RPS 元 余 电 源 ，PWR 机 型 采用 交 
流 供电 ,支持 RPS 元 余 电源 和 PoE+ 
包 转 发 率 ， 132Mpps 
交换 容量 ，256Gbit's 


48 个 10/100/1000Base-T 端口 ,4 个 
1000Base-X SFP 端口 
。 交流 供电 ,支持 RPS 元 余 电 源 和 PaoE+ 
。 包 持 发 率 ; 78Mpps 
。 交换 容量 ，256Gbit's 





| 二 本 | ”型 呈 ”| ”产品 外 观 | 训 6 数 | 基本 时 | 


S5700S-28P- 
LI-AC 


S5700S-52P- 
LI-AC 


。 24 个 10/100/1000Base-T 端口 ,4 个 
1000Base-X SFP 端口 

交流 供电 ， 支 持 RPS 元 余 电源 

包 转 发 率 : 42Mpps 

交换 容量 : 208Gbivs 

48 个 10/100/1000Base-T 端口 , 4 个 
1000Base-X SFP 端口 

交流 供电 ， 支 持 RPS 元 余 电源 

包 转 发 率 ; 78Mpps 

交换 容量 : 256Gbit/s 





S5700-24TP- 
SI-AC 


S5700-24TP- 
PWR-SI 


S5700-26X-SI- 


S5700-4 
SI-AC 


S5700-28C-S1 
S5700-28C- 
PWR-SI 


S5700-52C-SI 


S5700-52C- 
PWR-SI 


24 个 10/100/1000Base-T 端口 , 4 个 
复 用 的 SFP 千 兆 端口 Combo) 

分 交流 供电 和 直流 供电 两 种 机 型 
包 转 发 率 : 36Mpps 

交换 容量 : 256Gbit/s 

24 个 10/100/1000Base-T 端口 ,4 个 
复 用 的 SFP 千 兆 端口 (Combo) 

可 插 拔 双 电源 , 交流 供电 , 支持 PoE+ 
包 转 发 率 : 36Mpps 

交换 容量 : 256Gbit/s 

12 个 10/100/1000Base-T 端口 ，12 
个 100/1000Base-X 端口 ,2 个 10GE 
SFP+ 口 (支持 自 适应 为 GE 光 口 ) 
内 置 单 电源 ， 可 外 接 RPS 

包 转 发 率 : 66Mpps 

交换 容量 ， 256Gbits 

48 个 10/100/1000Base-T 端口 , 4 个 
复 用 的 SFP 千 兆 端口 《Combo) 

分 交流 供电 和 直流 供电 两 种 机 型 
包 转 发 率 : 72Mpps 

交换 容量 : 256Gbits 

48 个 10/100/1000Base-T 端口 ,4 个 
复 用 的 SFP 千 兆 端口 (Combo) 

可 插 拔 双 电 源 ， 交 流 供电 , 支持 PoE+ 
包 转 发 率 ， 72Mpps 

交换 容量 : 256Gbivs 

24 个 10/100/1000Base-T 端口 ，4 个 复 
用 的 SFP 千 兆 端口 (Combo)， 上 行 支 
持 4x1000Base-X SFP 端口 ,或 2x10GE 
SFP+ 端 口 ， 或 4x10GE SFP+ 插 卡 

可 插 拔 双 电源 ， 支 持 交流 或 者 直流 
供电 ; PWR 机 型 可 插 拔 双 电源 , 交 
流 供电 ， 支 持 PoE+ 

包 转 发 率 ，96Mpps 

交换 容量 ; 256Gbit/s 

48 个 10/100/1000Base-T 端口 ， 上 行 支持 
4x1000Base-X SFP 端口 , 或 2x10GE 
SFP+ 端 口 ， 或 4x10GE SFP+ 插 卡 
可 插 拔 双 电 源 ， 支 持 交 流 或 者 直流 
供电 ; PWR 机 型 可 插 拔 双 电 源 , 交 
流 供电 ， 支 持 PoE+ 

包 转 发 率 : 132Mpps 

交换 容量 : 256Gbivs 





产品 外 观 


基本 配置 





S5700-28C-EI 





S5700-28C- 
EI-24S 


24 个 10/100/1000Base-T 端口 ， 上 
行 支持 4x1000Base-X SFP 端口 ,或 
2x10GE SFP+ 端 口 ， 或 4x10GE 
SFP+ 插 卡 

可 插 拔 双 电 源 , 支持 直流 或 者 交流 供电 
包 转 发 率 : 96Mpps 

交换 容量 ，256Gbit/s 








S5700-28C- 
PWR-EI 


24 个 100/1000Base-X 端口 , 4 个 复 
用 的 10/100/1000Base-T 和 干 兆 口 
(Combo),， 上行 支 持 4x1000Base-X 
SFP 端口 ， 或 2x10GE SFP+ 端 口 ， 
或 4x10GE SFP+ 插 卡 

可 插 拔 双 电 源 , 支持 直流 或 者 交流 供电 
包 转 发 率 :， 96Mpps 

交换 容量 ，256Gbits 





24 个 10/100/1000Base-T 端口 ， 上 
行 支持 4x1000Base-X SFP 端口 ,或 
2x10GE SFP+ 端 口 ， 或 4x10GE 
SFP+ 插 卡 

可 插 拔 双 电 源 , 交流 供电 , 支持 PoE+ 
包 转 发 率 : 96Mpps 

交换 容量 ，256Gbit/s 





S5700-52C-El 


S5700-52C- 
PWR-EI 


S5710-28C-EI 


S5710-28C- 
PWR-EI-AC 


48 个 10/100/1000Base-T 端口 ， 上 
行 支持 4x1000Base-X SFP 端口 ,或 
2x10GE SFP+ 端 口 ， 或 4x10GE 
SFP+ 插 卡 

可 播 拔 双 电源 ， 支 持 直 流 或 者 交流 
供电 ; PWR 机 型 可 插 拔 双 电 源 , 交 
流 供电 ， 支 持 PoE+ 

包 转 发 率 ，132Mpps 

交换 容量 : 256Gbit/s 

24 个 10/100/1000Base-T 端口 ,4 个 
复 用 的 SFP 千 兆 端口 (Combo), 或 
4 个 10GE SFP+ 口 ， 上 行 支 持 8x 
10/100/1000Base-T， 或 8x1000Base- 
X， 或 2x10GE SFP+ 插 卡 

可 插 拔 双 电 源 ， 支 持 直 流 或 者 交 
流 供电 ;PWR 机 型 可 插 拔 双 电源 ， 
内 办 1 个 580W 交流 电源 ， 支 持 
PoE+ 

包 转 发 率 : 156Mpps 

交换 容量 : 368Gbit/s 





S5710-52C-EI 


S5710-52C- 
PWR-EI-AC 


S5710-52C- 
PWR-EI 








48 个 10/100/1000Base-T 端口 ,4 个 
10GE SFP+ 口 , 上 行 支持 8x10/100/ 
1000Base-T， 或 8x1000Base-X， 或 
2x10GE SFP+ 插 卡 

可 插 拔 双 电 源 , 支持 直流 或 者 交流 供 
电 ; PWR 机 型 可 插 拔 双 电源 ， 其 中 
S5710-52C-PWR-EI-AC 内 罩 1 个 
580W 交流 电源 ,S5710-52C- PWR-EI 
没有 内 置 电源 ， 但 都 支持 PoE+ 


。 包 转 发 率 : 192Mpps 
。 交换 容量 : 416Gbit's 





基本 配置 





24 个 10/100/1000Base-T 端口 ， 上 行 支 
持 4x1000Base-X SFP 端 口 ,或 2x10GE 
SFP+ 端 口 ， 或 4x10GE SFP+ 插 卡 

S5700-28C-HI gy 一 可 插 拔 双 电 源 ， 支 持 直 流 或 者 交流 


交换 容量 : 256Gbit/s 
24 个 100/1000Base-X 端口 ， 上 行 支持 
4x1000Base-X SFP 端口 ， 或 2x10GE 
SFP+ 端 口 ， 或 4x10GE SFP+ 插 卡 

可 插 拔 双 电源 ， 支 持 直流 或 者 交流 








S5700-28C- 
HI-24S 








+: 256Gbits 
“48 个 10/100/1000Base-T,8 个 10GE 
SFP+， 前 面板 有 3 个 插 模 ， 支 持 两 


车 二 一 种 插 卡 : 16x1000Base-X SFP 、 
16x10/100/1000Base-T， 后 面板 有 1 
和 108 | 个 插 模 ， 支 持 以 下 两 种 插 卡 ; 
4x40GE QSFP+、4x10GE SFP+ 
。 可 插 拔 双 电 源 ， 交 流 供电 
。 包 转 发 率 : 504Mpps 
。 交换 容量 : 1024Gbit/s 























1.5.2 S5700 系 列 交换 机 规格 及 主要 特性 











S5700 提 供 精 简 版 (LI) 、 标 准 版 (SID) 、 增 强 版 CEI) 和 高 级 版 (HI) 4 种 产品 版 本 。 它 们 的 规格 及 
主要 特性 如 表 1-16 所 示 。 表 中 的 S5700(S)-LI* 是 精简 型 系列 交换 机 的 统称 ， S5700(S)-LI* 是 S5700-LI 的 一 个 
子 系列 ，S5700-SI* 是 标准 型 系列 交换 机 的 统称 ;，S5700-EI* 是 增强 型 系列 交换 机 的 统称 ，S5710-EI* 是 
S5700-EI 的 一 个 子 系列 ，S5700-HI* 是 高 级 型 系列 交换 机 的 统称 。 








表 1-16 S5700 系 列 交 换 机 规格 及 主要 特 


底 





S5700(S)-LF S5700-S S5700-EWS5710-E S5700-H 六 


® S5700-10P-LI-AC/S5700-10P-PWR-LI-AC:8 个 10/100/1000Base-T 端口 ,2 个 1000Base-X 
SFP 端口 
S5700-28P-LISS700S-28P-LISS700-28P-PWR-LI:， 24 个 10/100/1000Base-T 端口 ，4 个 
1000Base-X SFP 端口 
S5700-28X-LI-AC/S5700-28X-LI-DC/ S5700-28X-PWR-LI-AC: 24 个 10/100/1000Base-T 
端口 ，4 个 10GE SFP 十 端口 
S5700-52P-L1/S5700S-52P-LI/S5700-52P-PWR-LI: 48 个 10/100/1000Base-T 端口 ，4 个 
1000Base-X SFP 端口 
S5700-52X-LI-AC/S5700-52X-LI-DC/S5700-52X-PWR-LI-AC: 48 个 10/100/1000Base-T 
端口 ，4 个 10GE SFP 十 端口 
S5700-24TP-SIUS5700-24TP-PWR-SIS5700-28C-SISS700-28C-PWR-SI: 24 个 10/100/ 
1000Base-T 端口 ，4 个 复 用 SFP 千 兆 端口 《Combo) 
S5700-26X-SI-12S-AC:12*10/100/1000Base-T，12 个 100/1000Base-X 端口 ，2 个 10GE 
SFP+ 端 口 
S5700-48TP-SISS700-48TP-PWR-SI:48 个 10/100/1000Base- 端口 ,4 个 复 用 SFP 千 兆 端口 (Combo) 
S5700-52C-S1/S5700-52C-PWR-SI: 48 个 10/100/1000Base-T 端口 


























( 续 表 ) 





® S5700-28C-E1/S5700-28C-PWR-E1，24 个 10/100/1000Base-T 端口 

® S5700-52C-EL/S5700-52C-PWR-EI: 48 个 10/100/1000Base-T 端口 

。 S5700-28C-EI-24S: 24 个 100/1000Base-X 端口 ，4 复 用 10/100/1000Base-T(Combo) 端口 

® S5710-28C-El1/ S5710-28C-PWR-EI-AC: 24 个 10/100/1000Base-T 端口 ，4 个 复 用 的 SFP 
干 兆 端口 (Combo)，4 个 10GE SFP + 端口 

® S5710-52C-ElL S5710-52C-PWR-EI-AC/S5710-52C-PWR-EI: 48 个 10/100/1000Base-T 端 
口 ， 4 个 10GE SFP+ 端 口 


S5700-28C-HI: 24 个 10/100/1000Base-T 端口 
S5700-28C-HI-24S: 24 个 100/1000Base-X 端口 


S5700TP 系列 机 型 提供 一 个 堆 释 扩展 插 档 

S5700C 系列 机 型 提供 两 个 扩展 插 档 ， 分 别 支持 上 行 插 卡 和 堆 登 卡 
S5710C 系列 机 型 提供 两 个 扩展 插 档 ， 支 持 上 行 插 卡 

S5700HI 系列 机 型 提供 一 个 扩 虹 插 档 ， 支 持 上 行 插 卡 


支持 16k MAC 地 址 容量 (但 S3700S-LI -| 
仅 支持 8k MAC 地 址 容量 ) edi a hse 


支持 MAC 地 址 自动 学 习 和 老化 
支持 静态 、 动 态 、 黑 洞 MAC 表 项 
支持 源 MAC 地 址 过 滤 
支持 4k (1k=1024) 个 VLAN 
支持 Guest VLAN、Voice VLAN 
支持 基于 MAC/ 协 议 /PP 子 网 /策略 /端口 划分 VLAN 
支持 1:1 和 :1 VLAN 映射 功能 
支持 Supe 
支持 RRPP 环 型 拓扑 和 RRPP 多 实例 
支持 SmartLink 树 型 拓 朴 和 SmartLink 多 实例 ， 提 供 主 备 链 路 的 毫秒 级 保护 
支持 智能 以 太保 护 SEP 协议 
支持 STP/RSTP/MSTP 协议 
支持 BPDU 保护 、 根 保护 和 环 回 保护 
支持 Enhanced Trunk (S5700(S)-L1l 系列 除外 ) 
。 支持 MPLS L3VPN 
。 支持 MPLS L2VPN (VPWS/VPLS) 
。 支持 MPLS-TE 
e 支持 MPLS QoS 


支持 静态 路 由 、RIP v1/2、 RIPng、 OSPF、OSPFv3、 
1S-IS、1S-ISv6、BGP、BGP4+、ECMP、 路 由 策略 





支持 静态 路 由 、RIP 
支持 静态 路 由 | v1/2、RIPng、ECMP、 
路 由 策略 
。 支持 ND、PMTU 
。 支持 IPv6 Ping、IPv6 Tracert、IPv6 Telnet 
。 支持 基于 源 IPv6 地 址 、 目 的 IPv6 地 址 、 四 层 端 口 、 协 议 类 型 等 ACL 
. 
. 





支持 MLD v1/v2 snooping (Multicast Listener Discovery snooping) 
支持 6to4、ISATAP、 手 动 配置 tunnel (S5700(S)-LI 除外 ) 


。 支持 IGMP vl/v2jv3 Snooping 和 快速 离开 机 制 
。 支持 VLAN 内 组 播 转发 和 组 搬 多 VLAN 复制 


。 支持 捆绑 端口 的 组 播 负 载 分 担 
。 支持 可 控 组 播 
。 支持 基于 端口 的 组 播 流量 统计 





支持 IGMP vl/vwv3、 PIM-SM、 PIM-DM、 PIM-SSM 
和 MSDP 





S5700(S)-L S5700-S S5700-El/S5710-El* S5700-H| 





支持 对 端口 接收 和 发 送 报 文 的 速率 进行 限制 
支持 报 文 重 定向 
支持 基于 端口 的 流量 监管 ， 支 持 双 速 三 色 CAR 功能 
每 端口 支持 8 个 队列 
支持 WRR、DRR、SP、WRR 十 SP、DRR+SP 队列 调度 算法 
S5710-EI 和 S5700-HI 系列 机 型 还 支持 WRED (Weighted Random Early Detection， 加 权 
随机 先期 检测 ) 
支持 报 文 的 802.1p 和 DSCP 优先 级 重 标记 
。 支持 二 到 四 层 的 包 过 滤 功 能 ， 提 供 基于 源 MAC 地 址 、 目 的 MAC 地址 、 源 全 地 址 、 目 
的 他 地 址 、 端 口 、 协 议 、VLAN 的 非法 帧 过 滤 功 能 
支持 基于 队列 限 速 和 端口 流量 整形 功能 





支持 用 户 分 级 管理 和 口令 保护 

持 防 止 DoS、ARP 攻击 功能 、ICMP 防 攻 击 

7 持 IP 地 址 、MAC 地 址 、 端 口 、VLAN ID 的 组 合 绑 定 
持 端口 隔离 、 端 口 安全 、Sticky MAC 

支持 黑洞 MAC 地 址 

持 MAC 地 址 学 习 数 目 限 制 

村 IEEE 802.1x 认证 和 单 端口 最 大 用 户 数 限制 

持 Radius、HWTACACS、NAC 等 多 种 AAA 认证 方式 
支持 SSH V2.0 

持 HTTPS 

持 CPU 保护 功能 

持 黑 名 单 和 白 名 单 





。 采用 硬件 实现 ， 支 持 
EFM OAM、CFM OAM 
se。 立 1731 性 能 检测 :支持 
硬件 级 时 延 和 拌 动 检测 





管理 和 
维护 


持 智 能 堆 善 (S5700-HI 和 S5700S-LI 系列 机 型 除外 ) 
支持 MFF 和 虚拟 电缆 检测 《Virtual Cable Test) 

持 端 口 镜像 和 RSPAN 〈 远 程 端口 镜像 ) 

持 Telnet 远程 配置 、 维 护 

持 SNMPv1/V2/v3 

持 RMON 

持 eSight 网 管 系统 、 支 持 Web 网 管 特性 

支持 自动 配置 

支持 集群 管理 HGMP 

持 HTTPS 

持 系 统 日 志 、 分 级 告警 

持 GVRP 协议 

支持 MUX VLAN 功能 

持 802.3az 能 效 以 太 网 EEE (S5700-LI 和 S5700-HI 支持 ) 
持 断 电 告 警 Dying gasp 功能 “S5700-LI 支持 ) 

持 NetStream (S5710-E1/S5700-HI 支持 ) 





= 











1.5.3 S5700 系 列 交 换 机 的 主要 应 用 

















汇聚 层 交 换 机 。 





1. 在 大 型 企业 园区 网 汇聚 层 中 的 应 用 
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S5700 系 列 交 换 机 在 大 型 企业 园区 网 汇聚 层 中 的 应 用 参见 1.4.4 节 的 图 1-14。 


2. 在 数据 中 心 接 入 层 中 的 应 用 
S5700 系 列 交换 机 在 中 型 数据 中 心 接 入 层 中 的 应 























路 捆绑 汇聚 到 上 层 设 备 。 单 机 架 服 务 器 超过 一 定数 量 可 采用 S5700 系 列 交换 机 的 iStack 
接 入 ， 便 于 维护 和 提高 可 靠 性 。 














3. 在 大 型 企业 园区 网 接 入 层 的 应 用 








在 大 型 企业 加 














又 网 接 入 层 中 ，S5700 系列 交换 机 可 实现 千 兆 到 桌 国 


入 需求 ， 如 图 1-17 所 示 。 





























[的 接 入 ， 满 足 高 


由 于 S5700 系 列 交 换 机 的 功能 和 性 能 非常 强大 ， 因 此 它 可 以 在 更 大 型 的 网 络 和 更 高 级 的 工作 层次 上 得 到 


应 用 。 如 在 大 型 企业 园区 网 或 数据 中 心中 作为 干 光 接 入 层 交 换 机 ， 在 中 小 型 企业 园区 网 中 作为 核心 层 或 者 


j 如 图 1-16 所 示 。 通 过 它 可 接 入 千 兆 服务 器 ， 再 利用 链 
登 功 能 完 


成 服务 器 














性 能 终端 





户 的 接 


NE 路 由 器 


S9700 


S5700-HI 








图 1-17 S5700 系 列 交 换 机 在 大 型 企业 园区 网 接 入 层 中 的 应 用 











1.6 S6700 系 列 交换 机 的 选 型 与 应 用 

















S6700 系列 交换 机 是 华为 公司 最 新 开发 的 下 一 代 全 万 兆 盒 式 交 换 机 ， 可 用 于 数据 中 心 万 兆 服务 器 接 入 
及 园区 网 的 核心 。 它 是 业内 最 高 性 能 的 盒 式 交 换 机 之 一 ， 同 时 提供 最 多 24/48 个 全 线 速 万 兆 接口 ， 使 万 兆 服 
务 器 高 密度 接 入 和 园区 网 高 密度 万 兆 汇聚 成 为 可 能 。 同 时 ，S6700 支 持 丰 富 的 业务 特性 、 完 善 的 安全 控制 策 
略 、 丰 富 的 QoS 等 特性 以 满足 数据 中 心 可 扩展 性 、 可 靠 性 、 可 管理 性 、 安 全 性 等 诸多 挑战 。 






































1.6.1 S6700 系 列 机 型 及 基本 配置 








S6700 系列 交换 机 主要 应 用 于 数据 中 心 万 兆 接 入 和 企业 园区 网 汇聚 层 或 核心 屋 。 目 前 只 有 S6700-24-FI 
和 S6700-48-EI 两 款 机 型 ， 其 外 观 及 基本 配置 如 表 1-17 所 示 。 














表 1-17 S6700 系 列 机 型 及 基本 配置 


基本 配置 


48 个 GE SFP/10 GE SFP+ 端 口 

可 插 拔 双 电源 ， 支 持 交 流 或 者 直流 供电 
ES -| 支持 USB 
S6700-48-EI 


包 转 发 率 : 715Mpps 
交换 容量 : 960Gbit/s 
24 个 GE SFP/10 GE SFP+ 端 口 


可 插 拔 双 电 源 ， 支 持 交 流 或 者 直流 供电 
| 村: 支持 USB 


包 转 发 率 ; 358Mpps 
S6700-24-EI 总 
交换 容量 : 480Gbit/s 





1.6.2 S6700 系 列 交 换 机 的 规格 及 主要 特性 





S6700 系 列 交 换 机 的 两 款 机 型 规格 及 基本 功能 如 表 1-18 所 示 。 
表 1-18 S6700 系 列 交换 机 的 规格 及 主要 功能 


项 目 S6700-24-EI S6700-48-EI 
端口 描述 24 个 GE SFP/10 GE SFP+ 端 口 48 个 GE SFP/10 GE SFP+ 端 口 


。 最 大 支持 128k (1k=1024) 个 MAC 地 址 
支持 MAC 地 址 自动 学 习 和 老化 
支持 静态 、 动 态 、 黑 洞 MAC 表 项 
支持 源 MAC 地 址 过 滤 
支持 4k (1lk=1024) 个 VLAN 
支持 GuestVLAN、Voice VLAN 
支持 基于 MAC/ 协 议 /IP 子 网 /策略 /端口 的 VLAN 
支持 1:1 和 NIVLAN 交换 功能 
支持 基本 、 灵 活 QinQ 功能 
支持 静态 路 由 ， 以 及 RIP v1/2、OSPF、IS-IS、BGP 动态 路 由 
支持 ECMP (等 价 开销 多 路 径 ) 和 URPF ( 单 播 反 向 路 径 转 发 ) 
IPv4 路 由 支持 VRRP 虚拟 路 由 器 元 余 协 议 ) 
支持 策略 路 由 
支持 路 由 策略 


。 支持 静态 路 由 和 OSPFv3、BGP4+ 
wei 。 支持 RIPng 
。 支持 ND (Neighbor Discovery) 
PY6 特 性 | 。 支持 PMIU 





MAC 地址 表 
































( 续 表 ) 


IPv6 特性 


S6700-24-EIl S6700-48-EIl 


支持 IPv6 Ping、IPv6 Tracert、IPv6 Telnet 

支持 6to4、ISATAP、 手 动 配置 隧道 

支持 基于 源 IPv6 地 址 、 目 的 IPv6 地 址 、 四 层 端口 、 协 议 类 型 等 ACL 
支持 MLD vl/v2 snooping 





0 0 99 0 .90 .9% 9 90 9 019 0 .0 .9 


支持 二 层 静 态 组 播 MAC 

支持 MAC 模式 转发 

支持 IGMP Snooping 和 快速 离开 机 制 
支持 组 播 VLAN 

支持 MLD Snooping 

支持 IGMP Proxy 

支持 可 控 组 播 

基于 端口 的 组 播 流 量 统计 

支持 IGMP v1/v2/v3 

支持 PIM-SM、PIM-DM、PIM-SSM 
支持 MSDP 





QoS/ACL 


管理 和 维护 


S6700-24-El S6700-48-E| 


1.6.3 S6700 系 列 交换 机 的 应 用 
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本 
. 
全 
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. 


支持 对 端口 接收 和 发 送 报 文 的 速率 进行 限制 

支持 报 文 重 定向 

支持 基于 端口 的 流量 监管 ， 支 持 双 速 三 色 CAR 功能 

每 端口 支持 8 个 队列 

支持 WRR、DRR、SP、WRR 十 SP、DRR-+HSP 队列 调度 算法 
支持 WRED 

支持 报 文 的 802.1p 和 DSCP 优先 级 重新 标记 

支持 二 到 四 层 的 包 过 滤 功 能 ， 提 供 基 于 源 MAC 地 址 、 目 的 MAC 地 址 、 源 下 地 
址 、 目 的 趾 地 址 、 端 口 、 协 议 、VLAN 的 非法 帧 过 滤 功 能 
支持 基于 队列 限 速 和 端口 整形 功能 

支持 STP、RSTP 和 MSTP 协议 

支持 BPDU 保护 、 根 保护 和 环 回 保护 

支持 RRPP 环 型 拓扑 和 RRPP 多 实例 

支持 SmartLink 树 型 拓扑 和 SmartLink 多 实例 ， 提 供 主 备 链 路 的 毫秒 级 保护 
支持 智能 以 太保 护 协议 (SEP) 

支持 ERPS 以 太 环保 护 协 议 (G.8032) 

支持 BFD for OSPF/ISIS/VRRP/PIM 协议 

支持 增强 Trunk (E-trunk) 

支持 用 户 分 级 管理 和 口令 保护 

支持 防止 DoS、ARP 攻击 功能 、ICMP 防 攻击 

支持 IP 地址 、MAC 地 址 、 连 接 端口 、VLAN ID 的 组 合 绑 定 
支持 端口 隔离 、 端 口 安全 、Sticky MAC 

支持 黑洞 MAC 地 址 

支持 MAC 地 址 学 习 数 目 限 制 

支持 IEEE 802.1x 认证 ， 支 持 单 端口 最 大 用 户 数 限制 

支持 AAA 认证 ， 支 持 Radius、HWTACACS、NAC 等 多 种 方式 
支持 SSH V2.0 

支持 HTTPS 

支持 CPU 保护 功能 

支持 黑 名 单 和 白 名 单 

支持 堆 养 (业务 口 实现 ) 

支持 MAC 地 址 强制 转发 (MFF) 

支持 虚拟 电缆 检测 (VCT) 








支持 以 太 网 OAM (802.3ah 和 802.1ag) 
支持 本 地 端口 镜像 和 远程 端口 镜像 (RSPAN)， 支 持 观察 端口 正常 转发 报 文 
支持 Telnet 远程 配置 、 维 护 

支持 SNMPvl/v2/v3 

支持 RMON 

支持 网 管 系统 、 支 持 Web 网 管 特性 
支持 集群 管理 HGMP 

支持 系统 日 志 、 分 级 告警 

支持 GVRP 协议 

支持 MUX VLAN 功能 

支持 sFlow 

















( 续 表 ) 





S6700 系 列 交换 机 主要 应 用 于 大 型 数据 中 心 和 大 中 型 企业 园区 网 的 汇聚 层 或 核心 层 。 

1. 在 大 型 数据 中 心中 的 应 用 

S6700 系 列 交换 机 在 大 型 数据 中 心中 的 应 用 如 图 1-18 所 示 。 此 时 采用 了 比特 路 由 交换 平台 S9700 系列 交 
换 机 作为 数据 中 心 核心 ， 通 过 集成 的 防火 墙 、 负 载 均衡 等 多 业务 板 卡 来 实现 安全 保证 和 流量 均衡 。 万 兆 服 
务 器 接 入 可 使 用 S6700 提供 高 密度 的 万 兆 接 入 方案 。 
































































IPS/IDS 写 :S9700 3 IPS/IDS 
x 全 和 ws 
万 兆 接 入 EEE 千 兆 接 入 
交换 机 S6700 全 | 交换 机 S5700 

















图 1-18 S6700 系 列 交 换 机 在 数据 中 心中 的 应 用 示例 








2. 在 大 型 企业 园区 网 中 的 应 用 
S6700 系 列 交换 机 可 用 于 大 型 企业 园区 网 的 汇聚 层 或 核心 层 ， 如 图 1-19 所 示 。 其 业界 领先 的 高 密度 全 线 
速 万 兆 端口 ， 为 上 、 下 行 高 速 连接 提供 了 完善 的 解决 方案 ， 其 丰富 的 业务 特性 、 完 善 的 安全 控制 机 制 使 得 
S6700 系 列 交换 机 成 为 园区 交换 机 最 高 性 价 比 的 选择 。 
分 支 机 构 网 络 Internet 
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图 1-19 S6700 系 列 交 换 机 在 大 型 网 络 中 的 应 用 示例 























1.7 S7700/9300/9700 系 列 交 J] 选 型 与 应 











S7700、S9300 和 S9700 三 大 系列 都 是 华为 公司 面向 下 一 代 企 业 网 络 架 构 而 推出 的 新 一 代 高 端 智能 T 比 特 



























































一 体 化 的 端 到 端 融合 网 络 。 




















] 户 的 选择 。 





更 方便 | 





1.7.1 S7700/9300/9700 系 列 交换 机 规格 





S7700、S9300 和 S9700 三 大 系列 都 是 机 箱 式 结构 ， 都 提供 3、6 和 12 三 种 不 同业 务 槽 机 型 选 所 


置 规格 比较 如 表 1-19 所 示 。 





表 1-19 S7700、S9300 和 S9700 系 列 的 三 种 机 型 奋 








因为 这 三 大 系列 的 主要 功能 特性 差不多 ， 


S9703 











S7706 | S9306 





融合 网 络 进行 


S9706 
































路 由 交换 机 。 这 三 大 系列 交换 机 产品 基于 华为 公司 智能 多 层 交 换 的 技术 理念 ， 








高 性 能 二 到 四 层 交 换 服 务 基础 上 ， 进 一 步 融 合 了 MPLS VPN、 硬 件 IPv6、 桌 本 




















网 络 业务 ， 提 供 不 间 断 升级 、 不 间断 转发 、 硬 件 OAM/BFD、 环 网 保护 等 多 和 


区 网 络 和 数据 中 心 网 络 ， 可 对 无 线 、 话 首 、 视 频 和 数 E 进 的 控 于 
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主要 是 性 能 上 的 差异 ， 故 在 此 一 起 介绍 并 进行 横向 比较 ， 











S7712 





S9312 




















cL 置 规格 比较 


S9712 





在 提供 稳定 、 可 靠 、 安 全 的 
j 云 、 视 频 会 议 、 无 线 等 多 种 
高 可 靠 技术 ， 广 泛 适 用 于 园 
， 帮 助 企 业 构建 交换 路 





























可 





EF， 它们 的 配 








3Tbit/s 


7.2 
Tbit/s 


6Tbit's 


14.4 
Tbits 


12Tbits 


19.2 
Tbit/s 





768 
1.92 | Gbit/s/ 
Tbit/s 1.92 
Tbit/s 


2.88 
Tbit/s/ 
5.76 
Tbit/s 


3.84 2 
Tbit/s/ | Tbit/s/ 
.12 EA 
Tbit/s | Tbits 





6.72 
Tbit/s/ 
14.72 
Tbit/s 


3.84 
Tbit/s/ 
5.76 
Tbits 





2 
Tbit/s/ 
5.12 
Tbit/s 


8.64 
Tbit/s/ 
18.56 
Tbit/s 





S576Mpps/ 
1440Mpps 








2160 
Mpps 


1.7.2 S7700/9700 系 列 交换 机 的 主要 特性 




















性 能 上 的 差异 ) ， 具 体 如 表 1-20 所 示 。 





1152Mpps/ 
2880Mpps 








2880Mpps/ 
5040Mpps 





1344Mpps/ 
3360Mpps 





3840Mpps/ 
6480Mpps 














表 1-20 S7700、S9300 和 S9700 三 大 系列 主要 功能 特性 


S7700、S9300 和 S9700 三 大 交换 机 系列 的 主要 特性 也 基本 一 样 ( 主 要 是 硬件 配置 与 培训 中 心 


S7700 S9300/S9700 

支持 Access、Trunk、Hybrid 端口 类 型 
支持 default VLAN 
支持 VLAN 交换 
持 QinQ、 增 强 型 灵活 QinQ 
支持 基于 MAC 的 动态 VLAN 分 配 
支持 MAC 地 址 自动 学 习 和 老化 

持 静态 、 动 态 、 黑 ) 








MAC 
地 址 
芒 能 本 基于 端口 和 VLAN 的 MAC 地 址 学 习 限 制 

支持 STP(IEEE 802.1d)，RSTP(IEEE 802.1w) 和 MSTP(IEEE 802.1s) 
支持 BPDU 保护 、Root 保护 、 环 路 保护 

和 寺 BDPU Tunnel 

支持 RIP、OSPF、ISIS、BGP 等 IPv4 动态 路 由 协议 

支持 RIPng、OSPFv3、ISISV6、BGP4+ 等 IPv6 动态 路 由 协议 

支持 IGMPv1/v2/v3、IGMP vl/v2/v3 Snooping 

支持 PIM DM、PIM SM、PIM SSM 

支持 MSDP、MBGP 

支持 用 户 快速 离开 机 制 

支持 组 播 流量 控制 

支持 组 播 查询 器 

支持 组 播 协议 报 文 抑制 功能 

支持 组 播 CAC 

支持 组 播 ACL 

支持 MPLS 基本 功能 

支持 MPLS OAM 

支持 MPLS TE 

支持 MPLS VPN/VLL/VPLS 

支持 LACP、 支 持 跨 设备 E-Trunk 

支持 VRRP、BFD for VRRP 

支持 BFD for BGP/IS-IS/OSPF/ 静 态 路 由 

支持 NSF、GR for BGP/IS-IS/OSPF/LDP 

支持 TE FRR、IP FRR 

支持 以 太 网 OAM 802.3ah 和 802.1ag 

支持 ITU-Y.1731 

支持 DLDP 

支持 运行 中 软件 升级 ISSU 

支持 集群 交换 系统 CSS 

支持 基于 Layer2 协议 头 、Layer3 协议 、Layer4 协议 、802.1p 优先 级 等 的 组 合流 分 类 
支持 ACL、CAR、Remark、Schedule 等 动作 

支持 PQ、WRR、DRR、PQ+WRR、PQ+DRR 等 队列 调度 方式 
支持 WRED、 尾 丢弃 等 拥塞 避免 机 制 

支持 流量 整形 





STP 








IP 





N/A 支持 H-QoS 
支持 Console、Telnet、SSH 等 终端 服务 
支持 SNMPv1/V2/v3 等 网 络 管理 协议 
支持 通过 FTP、TFTP 方式 上 载 、 下 载 文件 
支持 BootROM 升级 和 远程 在 线 升级 
支持 热 补丁 
支持 用 户 操作 日 志 











S7700 S9300/S9700 








支持 802.1x 认证 和 Portal 认证 

支持 NAC 

支持 RADIUS 和 HWTACACS 用 户 登 录 认证 
支持 命令 行 分 级 保护 ， 未 授权 用 户 无 法 侵入 
支持 防范 DoS 攻击 、TCP 的 SYN Flood 攻击 、UDP Flood 攻击 、 广 播 风 暴 攻 击 、 大 流量 攻击 
支持 1kB CPU 通道 队列 保护 

支持 ICMP 实现 ping 和 traceroute 功能 

支持 RMON 

支持 Firewall 功能 

支持 NAT 功能 

支持 Netstream 功能 

支持 IPSec 功能 

支持 负载 均衡 功能 

支持 无 线 AC 控制 器 





增值 业 
务 能 力 








1.7.3 S7700 系 列 交 换 机 的 应 用 











S7700 系 列 交 换 机 主要 应 用 于 大 型 企业 园区 网 的 汇聚 层 和 中 小 型 企业 园区 网 核心 层 。 


























1. 在 大 型 企业 园区 网 汇聚 层 中 的 应 用 
S7700 系 列 智 能 路 由 交换 机 具备 5.12Tbit/s 交 换 容 量 和 高 密度 万 兆 端 口 ， 可 以 作为 大 型 企业 园区 汇聚 交换 
机 设备 ， 组 建 高 可 靠 、 业 务 易 扩展 、 易 管理 的 企业 园区 网 络 ， 如 图 1-20 所 示 。S7700 支 持 硬 件 CPU 通 道 队 
列 ， 防 火 墙 功能 模块 ， 在 汇聚 层 为 企业 业务 增加 安全 保障 ， 保 护 企 业 核心 免 受 DDoS 攻击 与 各 种 安全 威胁 。 
2.， 在 中 小 型 企业 园区 网 核心 层 中 的 应 用 
S7700 系 列 智能 路 由 交换 机 支持 OSPF、BGP 等 路 由 协议 ， 文 持 IP、MPLS 全 线 速 转发 ， 同 时 具备 防火 
墙 、IPSec 模 块 ， 整 机 5.12Tbit/s 交 换 容量 ， 可 以 作为 中 小 型 企业 园区 网 络 的 核心 设备 ， 如 图 1-21 所 示 。 它 可 


为 中 小 企业 园区 网 提供 高 性 价 比 、 高 可 靠 、 多 业务 易 部 署 的 网 络 解决 方案 。 
































































































































图 1-21 S7700 系 列 交换 机 在 中 小 型 网 络 核心 层 中 的 应 用 示例 


1.7.4 S9300/9700 系 列 交 换 机 的 主要 应 用 





S9300 和 S9700 两 大 系列 交换 机 主要 在 大 型 企业 园区 网 的 核心 层 ， 以 及 大 型 数据 中 心 核 心 层 或 汇聚 层 中 
应 用 。 下 面 分 别 予 以 介绍 。 
1. 在 大 型 企业 园区 网 核心 层 中 的 应 用 




















S9300 和 S9700 两 大 系列 交换 机 主要 作为 大 型 企业 园区 网 的 核心 层 交 换 设 备 ， 能 够 为 用 户 组 建 高 可 靠 、 

















高 性 能 、 业 务 易 扩 展 、 易 管理 的 企业 园区 网 ， 如 图 1-22 所 示 。 



























































在 这 种 应 用 中 ， 主 要 利用 了 它们 以 下 的 功能 特性 。 








(1) 具备 分 布 式 IPv4/IPv6/MPLS 全 线 速 交换 能 力 ， 满 足 企 业 园区 核心 、 汇 聚 节点 高 密 万 兆 海 量 数据 吞 











(2) 利用 CSS 人 集群、 负载 均衡 一 





























楼 层 接 入 








体 化 解决 方案 ， 可 大 大 提高 网 络 IT 利用 效率 ， 降 低 网 络 维护 成 本 。 
(3) 利用 支持 的 无 线 AC 控 制 模块 ， 又 可 使 园区 核心 与 WLAN 控 制 合 一 ， 节 省 建 网 投资 。 
(4) 利用 支持 的 硬件 CPU 通 道 队列 ， 可 保护 企业 核心 免 受 DDoS 攻 击 与 各 种 安全 威胁 。 
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楼 层 接 入 无 线 接 入 








图 1-22 S9300/9700 系 列 交 换 机 在 大 型 网 络 核 心 层 中 的 应 用 示例 























2. 在 大 型 数据 中 心 核心 层 的 应 用 








S9300 和 S9700 两 大 系列 交换 机 还 
筑 高 可 靠 、 无 阻塞 、 虚 拟 化 的 数据 中 ， 















































BFD、NSFE、VRRP、E-Trunk 等 高 可 身 




















可 以 作为 大 型 数据 中 心 的 高 密 万 兆 核 心 和 万 兆 汇 聚 节点 ， 助 力 企 业 构 
心 网 络 ， 如 图 1-23 所 示 。 利 用 它们 所 支持 的 ISSU、IP FRR、 硬 件 


级 














性 技术 ， 可 实现 数据 中 心 业务 永 续 运 行 。 同 样 利用 它们 所 提供 











集群 、 负 载 均 衡 一 体 化 解决 方案 ， 可 提高 网 络 IT 利 用 效率 。 


的 CSS 







S9300/9700 四 一 全 


园区 骨干 网 


| 
S7700 固 一 辐 ! CSS 集 群 
. 


Web & E-mail 应 用 服务 








图 1-23 S9300/9700 系 列 交 换 机 在 大 型 


- 
S7700 :加 到 :C SS 集 胖 
. 


应 用 服务 


4 数据 中 心 核心 层 中 的 应 用 示例 











第 2 章 ”VRP 系统 基础 及 基本 使 用 








2.1 VRP 系 统 基 础 
2.2 查看 命令 行 显示 信息 
2.3 VRP 文 件 系 统管 理 
2.4 VRP 系 统 的 组 成 
2.5 管理 VRP 配 置 文件 
2.6 交换 机 启动 管理 
对 于 一 个 新 认识 的 网 络 交 换 机 ， 首 先 要 学 习 的 就 是 该 交换 机 的 网 络 操 作 系 统 本 身 ， 了 解 它 的 基本 使 用 
和 管理 方法 ， 否 则 后 面 的 许多 配置 与 管理 方法 学 习 将 无 从 谈 起 。 
本 章 作为 正式 介绍 华为 系列 园区 交换 机 的 开始 ， 首 先 介 绍 S 系 列 园区 交换 机 操作 系统 一 一 VRP 系 统 
(以 当前 Sx700 系 列 所 用 的 VRP 5.x 版 本 为 例 ) 本 身 的 一 些 基 础 知识 ， 如 VRP 命 令 行 格式 、 命 令 行 视 图 、 命 
令 行 基本 使 用 与 操作 ， 以 及 VRP 文 件 系 统管 理 、VRP 系 统 软件 /配置 文件 管理 、 交 换 机 启动 设置 等 。 虽 然 本 
章 内 容 很 基础 ， 但 对 于 一 个 初学 者 来 说 仍然 非常 重要 。 





















































































































































































































































2.1 VRP 系 统 基 础 























VRP (Versatile Routing Platform， 通 用 路 由 平台 ) 是 华为 公司 数据 通信 产品 的 通用 网 络 操作 系统 平台 ， 
包括 路 由 器 、 交 换 机 、 防 火 墙 、WLAN 等 众多 系列 产品 。 






































2.1.1VRP 系 统 概述 








VRP 系 统 自 1994 年 开始 研发 至 今 已 走 过 了 近 20 年 的 历史 ， 系 统 版 本 也 从 最 初 的 1.x 发 展 到 了 现在 最 高 的 
8.x 版 本 ， 无 论 是 从 系统 软件 体系 结构 ， 还 是 从 支持 的 功能 ， 采 用 的 配置 方法 上 发 生 了 明显 的 变化 。 在 S 系 
列 以 太 网 交换 机 中 目前 主要 是 应 用 5.x 版 本 ， VRP 8.x 目 前 主要 应 用 在 数据 交换 机 CE 系列 和 集群 路 由 器 
NE5000E。VRP 系 统 可 以 运行 在 多 种 硬件 平台 之 上 并 拥有 一 致 的 网 络 界面 、 用 户 界 面 和 管理 界面 ， 为 用 户 
提供 了 灵活 丰富 的 应 用 解决 方案 。 

当然 VRP 系 统 的 发 展 远 不 仅 体 现在 其 版 本 、 功 能 上 的 更 新 ， 更 体现 在 软件 平台 结构 上 的 发 展 、 变 化 ， 
从 VRP 1.x 的 集中 式 到 VRP 3.x 和 今天 主流 应 用 的 VRP 5.x 的 模块 化 分 布 式 ， 在 平台 架构 上 不 断 优化 的 同时 也 
大 大 提升 了 平台 的 性 能 ， 降 低 了 产品 成 本 。 下 一 代 的 VRP 8.x 还 采用 了 多 进程 、 多 处 理 、 内 存 保护 等 新 技 
术 。 

VRP 以 TCP/IP 协 议 栈 为 核心 ， 在 操作 系统 中 集成 了 路 由 、 组 播 、QoS、VPN、 安 全 和 IP 话 音 等 数据 通信 
要 件 。VRP 平 台 是 以 当前 最 主流 的 IP 业 务 为 核心 ， 实 现 组 件 化 的 体系 结构 。 在 提供 丰富 功能 特性 的 同时 ， 
还 提供 基于 应 用 的 可 裁剪 能 力 和 可 伸缩 能 

VRP 系 统 与 其 他 主要 品牌 网 络 交 换 机 的 操作 系统 一 样 ， 也 提供 了 用 于 人 一 一 机 交互 、 功 能 强大 的 命令 
行 界面 (Command Line Interface，CLI) 。 要 使 用 命令 行 来 配置 与 管理 华为 $ 系 列 交 换 机 ， 就 必须 从 认识 
VRP 命 令 行 开 始 。 下 面具 体 介 绍 。 












































































































































































































































































































































































































































用 户 可 通过 在 VRP 命 令 行 界面 下 键入 文本 类 配置 或 管理 命令 ， 按 下 回 车 键 即 可 把 相应 的 命令 提交 给 网 




















络 交换 机 执行 ， 从 而 实现 对 网 络 交换 机 的 配置 与 管理 ， 并 可 以 通过 执行 相关 命令 查看 输出 信息 ， 确 认 配 置 












































结果 。 与 命令 行 界面 CCLI) 相对 的 就 是 我 们 通常 所 说 的 GUI (Graphical User Interface， 图 形 用 户 界 面 ) ， 
如 我 们 常用 的 Windows 操 作 系统 ， 是 通过 鼠标 单 击 相关 选项 进行 设置 的 。 但 在 CLI 下 可 以 一 次 输入 含义 更 为 


丰富 的 指令 ， 系 统 响 应 更 迅速 。 
在 华为 VRP 系 统 中 ,命令 行 格式 有 如 表 2-1 所 示 的 约定 。 了 解 这 些 格式 约定 ， 对 于 理解 各 个 配置 或 管理 
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命令 中 的 关键 字 、 参 数 、 选 项 非常 重要 。 本 书 中 的 命令 行 输入 格式 也 遵照 表 中 的 约定 。 


选项 中 选取 一 个 。 昨 


表 2-1 VRP 命 令 行 格式 约定 


意义 





命令 行 关键 字 (命令 中 保持 不 变 、 必 须 全 部 照 输 的 部 分 )。 在 命令 格式 中 采用 加 粗 字 


体 表示 ， 但 在 配置 的 具体 命令 中 仍 为 正常 体 输入 ， 但 命令 行 关键 字 输 入 时 不 区 分 大 





小 写 
( 续 表 ) 


意义 





命令 行 参数 〈 命 令 中 必须 由 对 应 参数 的 实际 值 进行 奉 代 的 部 分 )。 在 命令 格式 中 采用 
铬 大 表 示 ， 但 在 配置 的 具体 命令 中 仍 为 正常 体 输入 





表示 为 可 选 参数 或 可 选项 ， 用 “[]” 括 起 。 在 命令 配置 时 可 以 选择 ， 也 可 以 不 选择 





表示 二 选 一 ， 或 者 多 选 一 参数 或 选项 。 在 配置 命令 时 必须 从 中 选取 其 中 一 个 





表示 二 选 一 或 多 选 一 可 选 参 数 或 可 选项 。 在 配置 命令 时 可 选取 其 中 一 个 ， 或 者 全 部 
不 先 





表示 从 二 选 一 (或 多 ) 或 者 多 选 一 (或 多 ) 参 数 或 选项 。 在 配置 命令 时 必须 从 中 选取 一 
个 或 多 个 ， 但 至 少 要 选取 一 个 ， 最 多 可 全 部 选择 





表示 从 二 选 一 〈 或 多 ) 或 者 多 选 一 〈 或 多 ) 可 选 参数 或 可 选项 。 在 配置 命令 时 可 从 
中 选取 一 个 或 多 个 ， 但 也 可 全 部 不 选 





表示 符号 & 前 面 的 参数 可 以 重复 1~n 次 











表示 由 “#” 开 始 的 行为 注释 行 












































例如 authentication-mode { aaa |password } 命 令 是 用 来 设置 登录 用 户 界 面 的 验证 方式 的 ， 其 中 
authentication-mode 为 命令 行 关键 字 ; { aaa |password } 中 的 aaa 和 password 也 是 命令 行 关 键 字 ， 表 示 从 这 两 个 





















































了 如 vlan batch {vlan-idl [ tovlan-id2 ] } &<1-10> 命 令 是 用 来 指 创建 YLAN 的 ， 其 中 的 vlan 





batch 为 命令 行 关 键 字 ，vlan-id1 为 参数 ， to vlan-id2 为 可 选 参数 ，&<1-10> 表 示 前 面 的 VLAN ID 或 者 VLAN 


ID 范围 


2.1.3 VRP 命 令 行 视图 














可 最 多 重复 10 次 。 





这 些 不 同 格式 的 具体 说 明 在 本 书后 面 会 全 面体 现 的 。 








“视图 ”是 VRP 命 令 接口 界面 ， 不 同 的 VRP 命 令 需 要 在 不 同 的 视图 下 才能 执行 ， 在 不 同 的 视图 下 也 配置 有 






































不 同 功能 的 命令 。 但 在 VRP 系统 中 ， 有 的 视图 又 是 分 层次 的 ， 在 系统 视图 下 可 以 进入 各 种 功能 视图 ， 在 一 


些 功 能 视图 下 还 可 进入 对 应 的 子 功能 视图 。 
VRP 系 统 的 命令 行 界 国 
时 ， 需 要 先进 入 这 个 命令 所 在 的 视图 。 各 命令 行 视 图 是 针对 不 同 的 配置 要 求实 现 的 ， 它 们 之 间 既 


某 


个 人 
个 命令 
































j 分 为 若干 个 命令 视图 ， 所 有 命令 都 注册 在 某 个 《或 菜 些 ) 命令 视图 下 。 当 使 用 





























有 联系 又 有 区 别 。 目 前 在 $ 系 列 园 区 交换 机 中 最 常见 的 命令 视图 、 视 图 功能 、 提 示 符 示例 ， 以 及 进入 和 退出 


以 





返回 


应 视图 的 方法 如 表 2-2 


























到 上 一 级 命令 视图 ， 














Me 


J 























所 示 《 仅 列举 了 部 分 交换 机 配置 中 最 常见 的 视图 ， 不 包括 全 部 ) 。 通 过 quit 命 令 可 
过 retum 命 令 或 者 按 下 Cul+Z 组 合 键 直接 返回 到 用 户 视图 。 



































说 明 


VRP 命 令 行 提 示 符 “HUAWEI" 是 当前 主流 5.x 版 本 VRP 系 统 人 
判断 当前 所 处 的 视图 
示 系 统 视图 下 的 其 他 子 视图 


命令 视图 密切 相关 。 


表 2-2 交换 机 VRP 系 统 常 见 命令 视图 及 进入 /退出 方法 


进入 命令 示 例 ”| 。 表册 信人 


用 户 视 图 


系统 视图 


查看 交换 机 的 简单 运 
行 状态 和 统计 信息 <HUAWEI> 


配置 系统 参数 [HUAWEI] 


与 交换 机 建立 连接 即 

进入 

A quit 或 return， 或 
Ctrl+Z 组 合 键 返回 
用 户 视图 


在 用 户 视图 下 键 


System-view 





quit, 断 开 与 交换 机 
的 连接 





进入 命令 示例 退出 命令 


以 太 网 
端口 视图 


[HUAWEI- 
Ethernet0/0/1] 


配置 以 太 网 端口 参数 | GigabitEthernet0/0/1] 


[HUAWEI- 
XGigabitEthernet0/0/1] 


百 兆 以 太 网 端口 视图 
在 系统 视图 下 键入 
interface ethernet 0/0/1 
千 兆 以 太 网 端口 视图 
在 系统 视图 下 键入 
interface 
gigabitethernet 0/0/]1 
万 兆 以 太 网 端口 视图 
在 系统 视图 下 键入 
interface 
XGigabitEthemet 0/0/1 





配置 NULL 接口 视图 


参数 [HUAWEI-NULLO] 


在 系统 视图 下 键入 


interface null 0 





配置 隧道 接口 视图 参 


数 [HUAWEI-Tunnel0] 


在 系统 视图 下 键入 


interface tunnel 0 


LoopBack | 配置 LoopBack 接口 |[HUAWEI-LoopBack0 | 在 系统 视图 下 键入 
接口 视图 | 参数 ] interface loopback 0 


Eth-Trunk 
接口 视图 


配置 Eth-Trunk 接口 | [HUAWELEth-Trunkl 
参数 ] 


在 系统 视图 下 键入 





VLAN 
视图 


配置 VLAN 参数 [HUAWEI-vlan1] 


interface EDR 1 quit， 返 回 系统 视 
在 系统 视图 下 键入 | 图 ，return ， 或 
vlan 1 Ctrl+Z 组 合 键 返 区 





VLAN 
接口 视图 
本 地 
用 户 视图 
VTY 用 户 
界面 视图 


Console 


用 户 界 面 


配置 VLAN 接 口 参 数 |[HUAWEI-Vlanifl] 


配 千 本 地 用 户 参 数 “|[HUAWEI-luser-userl] 


人 |[HUAWELui-vtyl] 
“| 或 
[HUAWELui-vtyl-3] 


配置 单个 或 多 
VTY 用 户 界面 参数 


配置 Console 用 户 界 
面 参 数 


[HUAWEI-ui-console0 


在 系统 视图 下 键入 | 用 户 视图 
interface vlanif 1 

在 aaa 视图 下 键入 
local-user userl 

在 系统 视图 下 键入 
user-interface vty 1 

或 user-interface vty 13 

在 系统 视图 下 键入 
user-interface console 0 





FTP Client 
视图 
SFTP 

Client 视图 


配置 FTP Client 参数 | [fp] 


配置 SFTP client 参数 | sftp-client> 


在 用 户 视图 下 键入 ftp 
10.1.1.1 
在 系统 视图 下 键入 sftp 
10.1.1.1 





基本 
ACL 视图 


高 级 
ACL 视图 


定义 基本 ACL 的 子 
规则 《〈 取 和 值 范 围 为 
2000 一 2999) 


[HUAWEI-acl- 
basic-2000] 


在 系统 视图 下 键入 acl 
number 2000 





定义 高 级 ACL 的 子 
规则 〔 取 值 范围 为 
3000 一 3999) 


[HUAWEI- 
acl-adv-3000] 


在 系统 视图 下 键入 acl 
number 3000 





二 层 


ACL 视图 


定义 三 层 ACL 的 子 
规则 〔 取 值 范围 为 [La 和 400o] 
4000~4999) 


在 系统 视图 下 键入 acl 


number 4000 quit， 返 回 系统 视 


图 ;return， 或 





用 户 
自 定义 
ACL 视图 











定义 用 户 自 定义 
ACL 的 子规 则 ( 取 值 
范围 为 5000 一 5999) 


[HUAWEI- 
acl-user-5000] 




















o 


Ctrl+Z 组 合 键 返回 
在 系统 视图 下 键入 acl 用 户 视图 


number 5000 











决 省 的 主机 名 (sysname) 。 通 过 提示 符 可 以 
， 例 如 : “<HUAWEI>” 表 示 用 户 视图 , “[HUAWEI] ”表示 系统 视图 
有 些 在 系统 视图 下 实现 的 命令 ， 在 其 他 视图 下 也 可 以 实现 ， 但 实现 的 功能 与 


，“[HUAWEI-] ” 表 


2.1.4 VRP 命 令 级 别 与 用 户 级 别 























为 了 增加 交换 机 的 安全 性 ， 在 VRP 系 统 中 把 所 有 命令 分 成 了 许多 个 不 同 的 级 别 ， 使 不 同 权限 的 用 户 可 
以 使 用 不 同 级 别 的 命令 。 这 样 也 就 确定 了 对 应 的 不 同 用 户 级 别 。 不 同 级 别 的 用 户 登 录 后 ， 只 能 使 用 等 于 或 
低 于 自己 级 别 的 命令 。 

1. 用 户 级 别 与 命令 级 别 

VRP 系 统 的 命令 级 别 分 为 0 一 3 共 4 级 ， 但 用 户 级 别 分 成 0 一 15 共 16 个 级 别 。 缺 省 情况 下 ， 用 户 级 别 和 命 
令 级 别 的 对 应 关系 如 表 2-3 所 示 。 

















































































































表 2-3 VRP 用 户 级 别 和 命令 级 别 对 应 关系 





用 户 | 可 访问 的 pe 
级 别 | 命令 级 别 级 别名 称 可 用 命令 说 明 
网 络 诊断 工具 命令 Cping tracert)、 从 本 交换 机 出 发 访问 外 部 交 
换 机 的 命令 〈 也 就 是 作为 Telnet 客户 端 )、 部 分 display 命令 等 

月 于 系统 维护 ， 包 括 display 等 命令 。 但 并 不 是 所 有 display 命令 
1 0、 1 监控 级 “| 都 是 监控 级 ， 比 如 display current-configuration 命令 和 display 


saved-configuration 命令 是 3 级 管理 级 


业务 配置 命令 ， 包 括 路 由 、 各 个 网 络 层次 的 命令 ， 向 用 户 提供 直 
楼 网 络 服务 





0 0 访问 级 








配置 级 


iD 








有 于 系统 基本 运行 的 命令 ， 对 业务 提供 支撑 作 用 , 包括 文件 系 
统 、FTP、TFTP 下 载 、 用 户 管理 命令 、 命 和 命令 

3 一 15 | 0、1、2、3 | 管理 级 | 系统 内 部 参数 设置 命令 以 及 用 于 业务 故障 诊断 的 SDH 
命令 等 。 可 以 通过 划分 不 同 的 用 户 级 别 , 为 不 同 管理 人 员 授 权 
使 用 不 同 的 命令 











命令 级 别 修 改 
! 需 要 实现 权限 的 精细 管理 ， 可 以 通过 以 下 两 种 方法 提升 茶 些 命令 的 命令 
要 修改 缺 省 的 命令 级 别 ， 以 免 造 成 操作 和 维护 上 的 不 便 ， 甚 至 给 交换 机 带 来 安全 隐患 
(1) 使 用 command-privilege level rearrange 命 令 ( 需 要 用 户 确保 自己 的 级 别 为 15 级 ， 否则 无 法 执行 该 命 
令 ) 将 所 有 缺 省 注册 为 2、3 级 的 命令 ， 分 别 批量 提升 到 10 和 15 级 。 命 令 级 别 批量 提升 后 ， 原 注册 的 所 有 命 
令 行 按 以 下 原则 自动 调整 对 应 的 命令 级 别 。 
e 0 级 和 1 级 命令 保持 级 别 不 变 。 
e 2 级 命令 提升 到 10 级 ，3 级 命令 提升 到 15 级 。 
e 2 一 9 级 和 11 一 14 级 这 些 命令 级 别 中 没有 命令 。 用 户 可 以 单独 调整 需要 的 命令 到 这 些 级 别 中 ， 以 实现 



































级 别 。 但 建议 用 户 不 











训 

















































































































































































































用 户 权限 的 精细 化 管理 。 

注意 

le HW 令 必须 是 没有 被 command-privilege level level view view-name command-key 命令 单独 修改 过 
的 ， 否 则 这 些 命令 将 维持 原来 的 级 别 不 变 。 可 通过 undo command-privilege level rearrange 命 令 将 原来 批量 提 














升 到 10 或 15 级 别 的 命令 重 冰 恢复 到 2 或 3 级 。 但 要 注意 ， 命 令 级 别 恢复 的 操作 对 象 只 能 是 原来 已 被 command- 
privilege level rearrange 命 令 批 量 提升 的 命令 ， 被 command-privilege level level view view-name command-key 
命令 单独 修改 过 的 命令 仍 维持 原来 的 级 别 不 变 。 

但 要 注意 ， 命 令 级 别 批量 提升 以 后 ，undo command-privilege level rearrange 命 令 本 身 的 级 别 也 被 调整 到 
了 15 级 《〈 它 原来 为 3 级 命令 ) ， 所 以 应 该 确保 执行 此 命令 的 用 户 级 别 是 15 级 。 同 时 ， 命 令 级 别 被 批量 提升 
后 ， 会 提示 用 户 命令 级 别 已 经 被 批量 提升 ， 以 减少 对 其 他 用 户 的 影响 。 命 令 被 批量 提升 后 ， 在 没有 被 恢复 
之 前 ， 如 果 用 户 再 次 执行 command-privilege level rearrange 命 令 进行 命令 级 别 批量 提升 操作 ， 此 操作 将 会 无 
效 ， 所 有 命令 的 级 别 都 将 不 会 改变 。 
















































































级 。 


HD 


统 视 


令 ) 


效 ， 





配置 


undo 



































【示例 1】 将 所 有 命令 级 别 批量 提升 ， 即 将 所 有 缺 省 注册 为 2、3 级 的 命令 ， 分 别 批量 提 升 到 10、15 


<HUAWEI>system-view 

[HUAWEI] command-privilege level rearrange 

® ou have not set the super password corresponding to a Level 15 user. 
It is recommended to quit the operation and set the password. 

Are you sure to continue ?[ Y/N ]y 


Info: The Command levels have been upgraded in batch ! 











(2) 使 用 command-privilege level level view view-name command-key 命 令 将 指定 的 命令 提升 到 指定 的 





命令 级 别 。 命 令 的 参数 说 明 如 下 。 











e level: 指定 命令 新 的 命令 级 别 ， 取 值 范围 为 0 一 15 的 整数 ; 

e view-name: 指定 要 调整 命令 级 别 的 命令 所 对 应 的 命令 视图 名 称 : shell 表 示 用 户 视图 ，system 表 示 系 
图 ，vlan 表 示 VLAN 视 图 。 
e command-key: 指定 要 调整 命令 级 别 的 具体 命令 〈 要 是 可 执行 的 具体 命令 ， 不 是 带 可 变 值 的 参数 命 
， 如 果 命 令 中 包含 多 个 关键 字 或 参数 ， 必 须 按照 关键 字 或 参数 的 执行 顺序 依次 指定 ， 否 则 配置 无 法 生 
参数 值 必 须 在 对 应 参数 取 值 范围 内 。 
缺 省 情况 下 ，ping、tracert、telnet 等 为 访问 级 〈0 级 ) ; display 为 监控 级 〈1 级 ) ; 大 部 分 的 配置 命令 为 
级 (2 级 ) ; 用 户 密 钥 设置 、FTP、XModem、TFTP 以 及 文件 系统 操作 的 命令 为 管理 级 (3 级 ) 。 使 用 


command-privilege [ level level ] view view-name command-key 命 令 和 undo command-privilegeview view- 














































































































































































































































































































name command-key 命 令 都 可 以 取消 当前 设置 ， 但 是 建议 用 户 使 用 undo command-privilege view view-name 


command-key 命 令 格式 。 


别 。 
则 需 


入 系 


注意 

如 果 修 改 某 视图 的 某 条 命令 的 级 别 低 于 缺 省 级 别 ， 请 务必 注意 相应 修改 quit 以 及 进入 该 视图 命令 的 级 

例如 system-view、interface 命 令 的 缺 省 级 别 均 为 2， 如 果 将 命令 interface 开放 给 级 别 为 1 的 用 户 使 用 ， 

要 通过 本 命令 将 system-view、interface、quit 的 级 别 修改 为 1， 以 便 级 别 1 的 用 户 登 录 交 换 机 后 ， 能 够 进 

统 视 图 、 接 口 视 图 及 返回 到 用 户 视图 。 
【示例 2】 将 reboot 命 令 的 用 户 访问 级 别提 高 到 15 级 。 

<HUAWEI>system-view 




































































































































































[HUAWEI] command-privilege level 15 view shell reboot 
【示例 3】 取 消 设置 reboot 命 令 的 用 户 访问 级 别 是 15 级 。 

<HUAWEI> system-view 

[HUAWEI] user-interface vty0 4 

[HUAWEI-ui-vty0-4] user privilege level 15 

[HUAWEI-ui-vty0-4] quit 

[HUAWEI] undo command-privilege view shell reboot 
【示例 4】 提 升 display nqa results 命 令 的 级 别 为 3。 

<HUAWEI> system-view 




















[HUAWEI] command-privilege level 3 view shell display nqa results 
【示例 5】 降 低 interface gigabitethernet 0/0/1 命 令 的 级 别 为 0。 
<HUAWEI>system-view 


[HUAWEI] command-privilege level 0 view system interface gigabitethernet 0/0/1 

3. 用 户 级 别 的 密码 设置 

用 户 级 别 指 登录 用 户 的 分 类 ， 共 划分 为 16 个 级 别 〈0 一 15) ， 与 命令 级 别 对 应 ， 即 不 同 级 别 的 用 户 登 录 
后 ， 只 能 使 用 等 于 或 低 于 自己 级 别 的 命令 。 
为 了 防止 未 授权 用 户 的 非法 侵入 ， 可 以 为 各 个 用 户 级 别 设置 对 应 的 密码 ， 但 高 级 用 户 访问 低级 别 用 户 
时 不 需要 切换 用 户 级 别 ， 也 就 不 需要 输入 低级 别 的 密码 。 

可 在 系统 视图 下 使 用 super password [ leveluser-level ] [ cipherpassword ] 命令 为 对 应 的 命令 级 别 设置 保护 
密码 。 命 令 中 的 参数 说 明 如 下 。 

e user-level: 可 选 参数 ， 指 定 要 设置 密码 的 用 户 级 别 ， 取 值 范围 为 0 一 15 的 整数 。 缺 省 情况 下 是 对 级 别 3 
设置 密码 。 

e password: 可 选 参数 ， 设 置 对 应 用 户 级 别 的 访问 密码 ， 为 字符 串 形 式 ， 长 度 范围 可 以 是 32 位 密 文 密 
码 ， 如 %$9%9$3W$C.&am)/yJ&EO$0% 一 >zfri9%6$9%$， 也 可 以 是 1 一 16 位 的 简单 口令 ， 如 huawei。 密 码 将 以 加 
密 的 形式 保存 在 配置 文件 中 ， 所 以 在 设置 了 密码 后 ， 无 法 从 系统 取 回 ， 请 妥善 保管 如 果 在 命令 中 不 带 此 
可 选 参数 ， 在 直接 输入 super password 命 令 或 输入 super password leveluser-level 命 令 后 会 有 输入 密码 的 提 
示 ， 但 输入 的 密码 不 会 在 交换 机 上 显示 出 来 。 
缺 省 情况 下 所 有 用 户 级 别 都 没有 设置 密码 ， 可 用 undo super password [ leveluser-level ] 命令 取消 原来 的 
密码 设置 。 

【示例 6】 设 置 以 低级 别 登录 的 用 户 切 换 到 级 别 10 时 需要 输入 密码 “123456”。 

<HUAWEI>system-view 

[HUAWEI] super password level 10 cipher 123456 

4. 切换 用 户 级 别 
在 从 低级 别 用 户 切换 到 高 级 别 用 户 时 ， 要 进行 用 户 身 份 验证 ， 即 需要 输入 高 级 别 用 户 密码 。 方 法 是 在 
系统 视图 下 使 用 super [ level ] 命令 进行 操作 切换 ， 可 选 参数 level 是 用 来 指定 要 切换 的 高 用 户 级 别 ， 取 值 范 
围 为 1 一 15 的 整数 ， 缺 省 级 别 为 3， 即 如 果 不 带 此 参数 ， 则 执行 的 是 切换 到 用 户 级 别 3 的 操作 。 
输入 该 命令 后 系统 将 在 下 面 提示 输入 所 要 切换 到 的 用 户 级 别 的 密码 ， 也 就 是 前 面 介 绍 的 通过 super 
password [ leveluser-level ] [ cipherpassword ] 命令 所 设置 的 对 应 用 户 级 别 的 访问 密码 ， 并 提示 你 仅 可 以 使 用 
切换 后 的 用 户 级 别 ， 以 及 比 该 用 户 级 别 更 低 的 所 有 用 户 级 别 的 命令 。 但 用 户 键入 的 密码 不 显示 在 屏幕 上 ， 
如 果 3 次 以 内 输入 正确 的 密码 ， 则 切换 到 高 级 别 用 户 ， 否 则 保持 当前 的 用 户 级 别 不 变 。 

【示例 7】 用 户 切 换 到 最 高 级 别 10。 

<HUAWEI>super 10 


Password: 






















































































































































































































































































































































































































































































Now user privilege is 10 level, and only those commands whose level is equal to or less than this level can be 
used. 
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE 


2.1.5 VRP 命 令 行 编辑 






































与 在 PC 机 命令 行 输入 命令 一 样 ，VRP 的 命令 行 中 也 存在 一 些 编辑 功能 和 操作 快捷 键 。 男 外 ， 在 VRP 系 
统 命令 行 中 还 存在 一 些 操作 技巧 。 了 解 这 些 编辑 功能 、 快 捷 键 和 操作 技巧 可 大 大 提高 配置 与 管理 命令 的 输 
入 效率 。 
1， VRP 命 令 行 编辑 功能 及 快捷 键 







































































VRP 系 统 的 命令 行 界面 提供 基 














本 的 命令 行 编 
的 参数 是 否 区 分 大 小 写 则 由 各 自 定义 的 参数 而 定 。 


个 人 





辑 功 能 ， 支 持 多 行 编辑 ， 每 条 命令 最 大 长 度 为 510 个 字符 ， 
































且 命令 关键 字 不 区 分 大 小 写 ， 但 
统 提 人 
键 〉 如 表 2-4 所 示 。 











HH 

















表 2-4 VRP 系 统 编 辑 功 能 键 和 操作 快 





功能 键 或 快捷 键 


说 明 














j 户 可 以 使 用 系 





/ 





的 快捷 键 ， 完 成 对 命令 的 快速 输入 ， 从 而 简化 操作 。 一 些 常 用 的 编辑 功能 操作 快捷 键 〈 都 是 组 合 


Tt 


键 





普通 按键 





若 编 辑 缓冲 区 未 满 ， 则 插入 到 当前 光标 位 置 ，# 


响 铃 告警 


-向 右 移 动 光 标 ， 否 则 ， 





退 格 键 BackSpace 


删除 光标 位 置 的 前 一 个 字符 ， 光 标 左 移 





CTRL A 


将 光标 移动 到 当前 行 的 开头 





左 光标 键 -~ 或 CTRL 


B | 将 光标 向 左 移动 一 个 字符 





| CTRL C 


停止 当前 正在 执行 的 功能 





CTRL D 
CTRL E 


出 除 当前 光标 所 在 位 置 的 字符 
将 光标 移动 到 当前 行 的 未 尾 





右 光 标 键 一 或 CTRL | 


F | 将 光标 向 右 移动 一 个 字符 





CTRL H 





删除 光标 左 侧 的 一 个 字符 





CTRL K 


在 连接 建立 阶段 终止 呼出 的 连接 





CTRL N 


显示 历史 命令 缓冲 区 中 的 后 一 条 命令 





CTRL P 


Li 
显示 历史 命令 缓冲 区 中 的 前 一 条 命令 





CTRL R 


重新 显示 当前 行 信息 





CTRL T 


终止 呼出 的 连接 





CTRL V 


粘贴 剪贴 板 的 内 容 





CTRL W 


删除 光标 左 侧 的 一 个 字符 串 〈 字 





CTRL X 


删除 光标 左 侧 所 有 的 字符 





CTRL YY 


删除 光标 所 在 位 置 及 其 右 侧 所 有 的 字符 





GERI 2 


返回 到 用 户 视图 





CTRL ] 





终止 呼 入 的 连接 或 重 定向 连接 





说 明 





( 续 表 ) 





将 光标 向 左 移动 一 个 字符 电 ( 字 ) 





| 删除 光标 右 侧 的 一 个 字符 串 ( 字 ) 





| 将 光标 向 右 移动 一 个 字符 申 ( 字 )》 





将 光标 向 下 移动 
将 光标 向 上 移动 


= 行 
- 行 











功能 键 或 快捷 键 

ESC _B 
ESC _D 
ESCF 
ESCN 
ESC P 

2. VRP 命 令 行 编辑 操作 技巧 

有 些 命令 

下 ， 当 输入 的 字符 能 够 匹配 只 





比如 display current-configuratio 




















不 能 输入 d c 或 dis c 等 ， 因 为 以 dc、 
注意 
系统 可 正确 执行 
完整 格式 进行 配置 ， 














510 个 字符 的 命令 。 系 统 习 


要 注意 命令 的 总 长 度 。 








男 外， 可 以 在 输入 不 完整 的 关键 字 后 按 下 <Tab> 键 ， 系 统 会 


























于 命令 保存 到 配置 文件 中 
E 启 时 ， 这 类 命令 将 无 法 恢复 。 














关键 字 比 较 长 ， 为 了 简化 输入 ，VRP 系 统 提 供 了 “不 完整 关键 字 输 入 ”功能 ， 即 在 当前 视图 


























n 命 令 ， 可 以 在 命令 行 ! 
dis c 开 头 的 命令 不 只 


o 





E 一 的 关键 字 时 ， 可 以 不 必 输 入 完整 的 关键 字 ， 以 提高 输入 效率 和 正确 性 。 
输入 dcu、di cu 或 dis cu 等 都 可 以 执行 此 命令 ， 但 











的 命令 长 度 最 大 为 510 个 字符 ， 包 括 使 用 以 上 介绍 的 不 完整 格式 的 情况 。 但 如 果 使 用 不 








时 使 用 的 是 完整 格式 


>» 











牛 中 存在 长 度 超过 


可 能 导致 配置 文 
































羽 此， 在 使 | 























自动 按 























(1) 如 果 与 之 匹配 的 关键 字 哈 
格 。 





E 一 ， 则 系统 月 




















j 不 完整 格式 的 命令 进行 配置 时 ， 也 需 





以 下 规则 补 全 关键 字 。 








日 此 完整 的 关键 字 蔡 代 原 输入 并 换行 显示 ， 光 标 距 词尾 空 一 


























(2) 如 果 与 之 匹配 的 关键 字 不 唯一 ， 反 复 按 <Tab> 键 可 循环 显示 所 有 以 输入 字符 串 开 头 的 关键 字 ， 此 
时 光标 距 词 尾 没有 空格 。 
(3) 如 果 没 有 与 之 匹配 的 关键 字 ， 按 <Tab> 键 后 ， 换 行 显示 ， 输 入 的 关键 字 不 变 。 





















































2.1.6 VRP 命 令 行 在 线 帮 助 











1 于 VRP 系 统 命令 非常 多 ， 许 多 不 常用 的 命令 ,或 者 命令 关键 字 比 较 长 的 命令 都 很 难 全 部 记 清 。 这 时 
可 以 使 用 VRP 系 统 提 供 的 在 线 帮 助 功 能 ， 从 而 无 需 记忆 大 量 的 复杂 的 命令 。 
在 线 帮助 通过 键入 “?” 这 个 特殊 的 命令 来 获取 ， 在 命令 行 输 入 过 程 中 ， 用 户 可 以 随时 键入 “?” 以 获得 详尽 
的 在 线 帮助 。 命 令 行 在 线 帮助 可 分 为 完全 帮助 和 部 分 帮助 。 

1. 完全 帮助 
当 用 户 输 入 命令 时 ， 可 以 使 用 命令 行 的 完全 帮助 获取 全 部 关键 字 或 参数 的 提示 。 在 任 一 命令 视图 下 ， 
键入 “?” 获 取 该 命令 视图 下 所 有 的 命令 及 其 简单 描述 。 如 在 用 户 视图 下 输入 “? ”命令 即 可 显示 当前 产品 的 
VRP 系 统 的 用 户 视图 下 所 有 可 用 的 命令 ， 这 时 可 以 通过 查看 各 命令 的 功能 说 明 或 命令 本 身 来 确定 所 需要 的 
命令 。 具 体 如 下 。 

<HUAWEI> ? 


User view commands: 































































































































































































backup Backup electronic elabel 
cd Change current directory 
check Check information 
clear Clear information 
clock Specify the system clock 


compare Compare function 





























还 可 以 在 一 个 命令 关键 字 后 面 空 一 个 空格 后 再 键入 “?”， 如 果 该 位 置 为 关键 字 ， 则 列 出 全 部 关键 字 及 其 
简单 描述 。 下 面 的 示例 是 在 命令 后 面 空 一 格 再 加 上 “? ”， 提 示 了 两 个 可 接 的 关键 字 。 

<HUAWEI> system-view 

[HUAWEI] user-interface vty 0 4 

[HUAWEI-ui-vty0-4] authentication-mode ? 

























































































aaa AAA authentication 

password Authentication through the password of a user terminal interface 
如 果 “? ”位 置 已 没有 任何 参数 或 关键 字 ， 则 显示 空 行 。 如 下 所 示 。 
[HUAWEI-ui-vty0-4] authentication-mode aaa ? 

<CT> 
如 果 在 一 个 命令 关键 字 后 面 空 一 个 空格 后 再 键入 “?”， 如 果 该 位 置 为 参数 ， 则 列 出 有 关 的 参数 名 和 参数 

描述 。 同 样 如 果 “? ”位 置 没 有 任何 关键 字 或 参数 ， 则 显示 空 行 。 示 例如 下 。 

<HUAWEI> system-view 
[HUAWEI| ftp timeout ? 

INTEGER<1-35791> The value of FTP timeout the default value is 30 minutes 
[HUAWEH ftp timeout 35 ? 


<cr> 






















































































































































































2. 部 分 帮助 

当 用 户 输入 命令 时 ， 如 果 只 记得 此 命令 关键 字 的 开头 一 个 或 几 个 字符 ， 可 以 使 用 命令 行 的 部 分 帮助 获 
取 以 该 字符 串 开 头 的 所 有 关键 字 的 提示 。 可 以 采用 以 下 几 种 方式 来 获取 部 分 帮助 。 

(1) 键入 一 字符 串 ， 其 后 紧 接 “?”， 即 可 列 出 以 该 字符 串 开 头 的 所 有 关键 字 。 示 例如 下 。 

<HUAWEI>d? 

debugging delete 




















































































































dir display 
(2) 键入 一 条 命令 ， 在 后 面 接 的 一 字符 串 后 面 紧 接 “?”， 即 可 列 出 以 该 字符 串 开 头 的 所 有 关键 字 。 示 
例如 下 。 
<HUAWEI>display b? 
bootrom bpdu 























bpdu-tunnel bridge 

buffer 

(3) 输入 命令 的 某 个 关键 字 的 前 几 个 字母 ， 按 下 <Tab> 键 ， 可 以 显示 出 完整 的 关键 字 ， 前 提 是 这 几 个 
字母 可 以 唯一 标示 出 该 关键 字 ， 和 否则， 连续 按 下 <Tab> 键 ， 可 出 现 不 同 的 关键 字 ， 用 户 可 以 从 中 选择 所 需要 
的 关键 字 。 


























2.1.7 VRP 命 令 行 的 通用 错误 提示 








用 户 在 VRP 命 令 行 下 面 键 入 任何 命令 都 需要 经 过 语法 检查 ， 只 有 正确 才 执 行 ， 否 则 系统 将 会 向 用 户 报 
告 错误 信息 。 常 见 的 错误 提示 信息 如 表 2-5 所 示 。 了 解 这 些 错 误 提 示 信息 所 代表 的 具体 含义 对 于 出 现 一 些 命 
令 输 入 或 执行 错误 很 有 帮助 ， 可 以 及 时 发 现 一 些 命令 输入 错误 。 



























































表 2-5 命令 行 常见 错误 提示 信息 
















错误 提示 信息 错误 原因 
没有 查找 到 命令 ， 如 所 输入 的 命令 本 身 有 错误 
没有 查找 到 关键 字 ， 如 输入 的 命令 关键 字 不 正确 
参数 类 型 错 ， 如 对 应 位 置 本 来 没有 某 参 数 类 型 ， 
而 在 你 的 命令 中 输入 了 某 参 数值 
参数 值 越界 ， 如 你 所 输入 的 对 应 参数 的 值 超出 了 
其 取 值 范围 
输入 命令 不 完整 ， 如 所 输入 的 命令 必须 要 有 的 关 
字 或 参数 
输入 参数 太 多 ， 如 所 输入 的 命令 中 有 些 参数 在 命 
令 格 式 中 根本 不 存在 


Error:Ambiguous command found at'^ position， | 输入 命令 不 明确 








Error: Unrecognized command found at ' position. 













Error: Wrong parameter found at '"" position . 





Error:Incomplete command found at '* position. 








Error:Too many parameters found at ~ position. 











2.1.8 VRP undo 命 令 行 





























在 VRP 系 统 中 undo 格 式 命令 比较 特殊 ， 几 乎 所 的 配置 命令 〈 不 包括 管理 类 的 命令 ) 都 有 对 应 的 undo 命 
令 格 式 ， 其 中 undo 作 为 这 些 命令 的 关键 字 ， 即 为 undo 命 令 行 。 

undo 命令 行 一 般 用 来 恢复 缺 省 情况 、 禁 用 某 个 功能 或 者 删除 某 项 设置 。 但 大 多 数 undo 命令 行 的 作用 就 
是 用 来 恢复 对 应 命令 的 缺 省 设置 。 如 在 前 面 介 绍 的 super password [ leveluser-level ] [ cipher password ] 命令 
是 用 来 设置 对 应 用 户 级 别 的 访问 密码 的 ， 如 果 要 恢复 对 应 用 户 级 别 的 缺 省 无 密码 设置 ， 即 删除 原来 所 设置 
的 密码 ， 则 可 使 用 undo super password [level user-level ] 命令 。 但 在 这 里 要 注意 的 是 ，undo 命 令 行 格式 有 多 




































































































































































种 ， 下 


用 分 别 介 绍 。 


1. 不 带 有 原 命令 中 的 参数 和 选项 














有 








的 undo 命 令 行 只 需 在 原 命令 的 关键 字 前 面 加 上 undo 关 键 字 ， 后 





甸 的 参数 和 选项 都 


























不 用 带 ， 如 sysname 


host-name 的 undo 命 令 行 undo sysname，authentication-mode { aaa |password } 的 undo 命 令 行 undo 
authentication-mode。 这 类 命令 通常 是 一 些 最 终 仅 可 带 一 个 参数 或 选项 〈 即 二 选 一 ， 或 多 选 一 参数 或 选 




















lm ma | 




















2. 仅 带 原 命令 中 前 下 

















] [ cipherpassword ] 命令 的 undo 命 令 行 undo super password [ leveluser-level ] ， 
的 密码 设置 参数 没有 带 。 这 类 命令 通常 是 带 有 多 个 包括 关键 字 的 参数 、 选 项 的 命令 
项 不 是 并 列 的 ， 通 常 前 面 的 参数 或 选项 是 主体 ， 后 面 的 参数 或 选项 设置 为 作用 在 





后 盏 












































上 的 ， 这 时 在 取消 设置 时 











仅 需 要 指出 最 前 




















上 一 个 或 者 多 个 参数 或 选项 。 





项 ) ， 上 面 两 条 命令 都 属于 这 种 类 型 ， 或 者 根本 不 带 参数 和 选项 的 命令 ， 主 要 是 一 些 功 
有 telnet 服务 的 telnet server enable 命 令 对 应 的 undo 命 令 行 即 为 undo telnet server enable。 

的 部 分 参数 或 选项 
也 有 一 些 命令 的 undo 命令 行 是 需要 带 有 部 分 参数 和 选项 的 ， 如 前 理 

















能 启用 命令 ， 如 启 


| 说 的 super password [ leveluser-level 





它 只 带 了 用 








户 级 别 这 个 参数 ， 











， 但 这 些 参数 、 选 














前 面 的 














主体 参数 或 选项 之 

















如 前 面 介 绍 的 命 

















是 后 面 password 参数 的 主体 ， 所 以 在 其 undo 命令 行 没 有 包括 cipher password 可 选 参 数 。 
3. 带 有 原 命令 中 全 部 的 参数 和 选项 























还 有 一 些 命令 的 undo 命 令 行 是 需要 带 有 全 部 的 参数 和 选项 ， 








总 入 


这 些 命令 通常 是 带 有 多 





令 中 user-level 参数 


个 并 列 的 参数 或 选 


项 ， 要 删除 设置 时 必须 全 部 指定 各 参数 的 取 值 。 如 用 来 批量 创建 VLAN 的 vlan batch { vlan-id1 [ to vlan-id2 ] 





} &<1-10> 命 令 所 对 应 的 








认 所 要 恢复 或 删除 的 参数 值 。 如 




















个 VLAN， 








2.1.9 查看 历史 命令 
































VRP 命 令 行 界 盏 
调用 命令 行 界 
































用 保存 的 历史 命令 ， 





j 能 够 自动 保存 用 户 键入 的 历史 命令 。 当 用 





则 在 命令 




















undo 命 令 行 为 ndo vlan batch { vlan-idl [to vlan-id2 ] } &<1-10>， 就 带 有 了 原 命令 
中 的 全 部 参数 了 。 这 类 命令 的 undo 命 令 行 如 果 不 全 部 是 原 命令 的 参数 、 选 项 ， 





执行 时 系统 无 法 确 








这 里 的 undo vlan batch 命 令 不 带 任 何 参 数 的话 ， 理 论 上 来 讲 就 是 要 
VLAN， 但 事实 上 在 大 多 数 情况 下 不 能 这 相 
如 果 想 要 删除 一 个 范围 的 VLAN， 必 须 同时 带 上 to vlan-id2 参 数 ， 如 果 要 删除 多 个 不 连续 范 
VLAN， 则 还 要 同时 指出 由 &<1-10> 决 定 的 其 他 VLAN ID 范 

















围 。 

















Tm 









































并 重复 执行 ， 方 便 用 户 的 操作 。 
缺 省 情况 下 ， 为 每 个 登录 用 户 保存 10 条 历史 命令 。 可 以 通过 history-command max-size size-value 命 令 














在 相应 的 用 户 界面 视图 下 重新 设置 保存 历史 命令 的 条 数 ， 最 大 设置 为 256。 但 不 推荐 用 











大 





为 可 
对 














操作 任务 





能 会 花费 较 长 时 间 才 查看 到 所 需要 的 历史 命令 ， 反 而 影 
历史 命令 的 操作 方法 如 表 2-6 所 示 。 








命令 或 功能 键 


表 2-6 历史 命令 











响 了 效率 。 


访问 操作 方法 


结果 


| 除 所 有 








2 


操作 ， 很 危险 ， 如 果 仅 带 了 vlan-id1 参 数 ， 则 仅 会 删除 对 应 的 一 














的 


Py 





需要 输入 之 前 已 经 执行 过 的 命令 时 ， 可 以 





户 将 此 值 设 置 过 大 ， 





显示 历史 命令 


display 
history-command [ all-users ] 


不 指定 all-users 可 选项 时 ， 则 显示 当前 用 户 键入 
的 历史 命令 ; 指定 all-users 可 选项 时 ， 则 显示 得 
是 所 有 登录 用 户 键入 的 历史 命令 





访问 上 一 条 
历史 命令 


上 光标 键 或 者 <Ctrl P> 组 合 


如 果 还 有 更 早 的 历史 命令 ， 则 取出 上 一 条 历史 命 


否则 响 铃 警告 


A 
*， 





访问 下 一 条 


历史 命令 








说 明 


对 于 Windows 9x 系 统 〔( 现 在 已 很 少 有 人 月 


下 光标 键 或 者 <Ctrl_N> 组 合 




















如 果 还 有 更 新 的 历史 命令 ， 则 取出 下 一 条 历史 命 


令 ， 否 则 显示 为 室 ， 响 铃 警告 











日 了 ) 的 超级 终端 ，1 光 标 键 无 效 ， 这 是 由 于 Windows 9x 的 超 











级 终端 对 这 个 键 作 了 不 同 解释 ， 这 时 可 以 用 <Ctrl_P> 组 合 键 代替 1 光标 键 达到 同样 目的 。 

另外 ， 保 存 的 历史 命令 与 用 户 输入 的 命令 格式 相同 ， 如 果 用 户 使 用 了 命令 的 不 完整 形式 ， 保 存 的 历史 
命令 也 是 不 完整 形式 。 如 果 用 户 多 次 执行 同一 条 命令 ， 则 历史 命令 中 只 保留 最 近 的 一 次 。 但 如 果 执 行 时 输 
入 的 形式 不 同 ， 将 作为 不 同 的 命令 对 待 。 例 如 : 多 次 执行 display ip routing-table 命 令 ， 历 史 命令 中 只 保存 最 
近 这 一 条 。 如 果 分 别 执行 display ip routing-table (完整 格式 ) 和 dis ip rout (不 完整 格式 ) ， 将 保存 为 两 条 历 


史 命 令 。 













































































































































































我 们 在 交换 机 的 VRP 命 令 行 中 配置 了 许多 命令 ， 如 果 想 要 查看 以 往 的 配置 命令 信息 又 将 如 何 进行 呢 ? 
本 节 将 具体 介绍 查看 命令 行 显示 信息 ， 包 括 查询 命令 行 的 配置 信息 、 控 制 命令 行 显示 方式 和 过 滤 命 令 行 显 
示 信 息 3 个 方 H| 。 












































2.2.1 查询 命令 行 的 配置 信息 























在 完成 一 系列 配置 后 ， 可 以 执行 相应 的 display 命令 查看 交换 机 的 配置 信息 和 运行 信息 。 比 如 ， 在 完成 
了 FTP 服 务 功能 的 各 项 配置 后 ， 可 以 执行 display ftp-server 命 令 查 看 当前 FTP 服 务 器 的 各 项 参数 ， 完 成 了 
VLAN 方 面 的 各 项 配置 后 ， 可 以 执行 display vlan 命令 查看 所 有 的 VLAN 相 关 配 置信 息 ; 完成 了 STP 方 面 的 各 
项 配置 后 ， 可 以 执行 display stp 命 令 查看 STP 相 关 配 置信 息 。 
























































































































































注意 
在 这 些 display 命令 的 输出 信息 中 ， 对 于 某 些 正在 生效 的 配置 参数 ， 如 果 某 参数 的 设置 值 采用 了 缺 省 值 
则 不 会 在 输出 信息 中 显示 。 如 果 要 同时 显示 当前 视图 下 未 被 修改 的 缺 省 配置 ， 可 以 执行 命令 display this 







































































include-default 进 行 查 看 。 另 外 ， 对 于 某 些 参数 ， 虽 然 用 户 已 经 配置 ， 但 如 果 这 些 参 数 所 在 的 功能 并 没有 生 
效 ， 则 也 不 会 在 输出 信息 中 显示 。 

1. 查看 当前 生效 的 配置 信息 

VRP 系 统 还 支持 对 当前 生效 的 所 有 配置 信息 和 当前 视图 下 的 所 有 配置 信息 分 别 查 看 。 执 行 display 


current-configuration [ configuration [ configuration-type [ configuration-instance | ] linterface [ interface-type [ 







































































interface-number ] ] ] [ feature feature-name [ filter filter-expression ] | filter filter-expression ] 或 display current- 

configuration [ all | inactive ] 命令 即 可 查看 当前 生效 的 所 有 配置 信息 ， 也 可 通过 其 中 的 参数 或 关键 字 查 看 指 
定 的 配置 类 型 、 配 置 实例 、 接 口 或 特性 等 的 配置 信息 ， 或 由 过 滤 条 件 ， 或 者 由 正则 表达 式 过 滤 要 显示 的 配 
置信 息 。 各 部 分 是 以 “于 ' 行 分 隔 的 。 有 关 正 则 表达 式 将 在 2.2.3 节 具体 介绍 。 以 上 两 命令 中 的 参数 和 选项 说 明 
如 下 。 










































































一 






































(1) configuration-type: 多 选 一 可 选 参数 ， 显 示 指 定 的 配置 类 型 的 配置 〈 但 依赖 于 系统 当前 已 有 的 配 
置 ) ， 如 可 显示 AAA 配置 、 系 统 配置 、 用 户 界 面 配置 等 。 
(2) configuration-instance: 可 选 参数 ， 显 示 指 定 的 VPN 配置 实例 中 的 配置 ，VPN 实 例 名 为 1 一 80 个 字 
















































































符 。 
(3) interface-type [ interface-number ] : 多 选 一 可 选 参数 ， 显 示 指 定 接口 的 配置 。 
(4) feature-name: 多 选 一 可 选 参数 ， 显 示 指 定 特性 的 配置 。 
(5) filter-expression: 可 选 参数 ， 指 定 用 于 过 滤 配 置信 息 的 过 滤 表 达 式 ， 为 1~255 个 字符 ， 不 支持 空 
格 ， 不 区 分 大 小 写 。 
(6) all: 二 选 一 选项 ， 指 定 显 示 所 有 板 卡 的 配置 信息 ， 包 括 不 在 位 的 板 卡 的 配置 信息 。 


































































































(7) inactive: 二 选 一 选项 ， 指 定 显示 不 在 位 的 板 卡 的 配置 信息 。 
【示例 1】 查 看 包含 字符 串 “vlan” 的 所 有 配置 信息 。 这 是 通过 正则 表达 式 来 过 滤 显 示 信 息 的 ， 有 关 正 则 
表达 式 将 在 2.2.3 节 介绍 。 
<HUAWEI>display current-configuration | includevlan 
vlan batch 10 77 88 
port link-type trunk 






































port trunk allow-pass vlan 10 

【示例 2】 查 看 ftp 特 性 的 配置 信息 。 
<HUAWEI>display current-configuration feature ftp 
# 


FTP server enable 






































2. 查看 当前 视图 下 正在 运行 的 配置 信息 
可 通过 display this 命 令 查 看 当前 视图 下 正在 运行 的 配置 信息 。 当 用 户 在 茶 一 视图 下 完成 一 组 配置 之 后 ， 
需要 验证 是 否 配置 正确 ， 则 可 以 执行 本 命令 ， 但 这 仅 显 示 当 前 视图 下 的 生效 配置 。 
























































2.2.2 控制 命令 行 显示 方式 
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VRP 所 有 的 命令 行 有 共同 的 显示 特征 ， 并 且 可 以 根据 用 户 的 需求 ， 灵 活 控制 显示 方式 。 命 令 行 的 
模式 〈 也 就 是 在 屏幕 上 的 显示 模式 ) 分 为 字符 模式 和 行 模式 ， 可 通过 terminal echo-mode { character | line } 命 
令 设 置 ， 缺 省 情况 下 为 字符 模式 。 如 果 设 置 为 character 模式 ， 则 指定 命令 行 的 回 显 模式 是 字符 模式 。 此 时 
输入 命令 行 时 ， 用 户 输 入 一 个 字符 系统 显示 一 个 字符 ;如 果 设 置 为 line 模 式 ， 则 指定 命令 行 的 回 显 模式 是 行 
模式 。 此 时 输入 命令 行 时 ， 用 户 输 入 字符 后 ， 只 有 在 按 下 回 车 键 ， 或 者 <Tab> 键 或 ? 键 ， 系 统 才 回 显 输入 的 
字符 ， 这 可 提高 命令 输入 时 的 安全 性 ， 因 为 前 面 输 入 的 字符 都 看 不 到 。 

当 终 端 屏幕 上 显示 的 信息 过 多 时 ， 可 以 使 用 <PageUp> 和 <PageDown> 键 显示 上 一 页 信息 和 下 一 页 信 
息 。 当 执行 某 一 命令 后 ， 如 果 显 示 的 信息 超过 一 屏 时 ， 系 统 会 自动 暂停 ， 以 方便 用 户 查 看 。 此 时 用 户 可 以 
通过 功能 键 控制 命令 行 的 显示 方式 ， 如 表 2-7 所 示 。 当 然 ， 也 可 以 事先 通过 screen-length screen-length 
emporary 命令 设置 当前 终端 屏幕 的 临时 显示 行 数 ， 如 果 参 数 screen-length 的 取 值 为 0， 则 关闭 分 屏 功 能 ， 
即 当 显示 的 信息 超过 一 屏 时 ， 系 统 不 会 自动 暂停 。 
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表 2-7 命令 行 显示 方式 的 控制 方式 


功能 
停止 显示 或 命令 执行 。 也 可 以 键入 除 空格 键 、 回 车 键 等 的 其 他 
键 (可 以 是 数字 键 或 字母 键 ) 停止 显示 和 命令 执行 
键入 空格 键 | 继续 显示 下 一 屏 信息 
键入 回 车 键 续 续 显示 下 一 行 信息 





按 下 <Ctrl_C> 或 <Ctrl_Z> 组 合 键 











时 本 


2.2.3 过 滤 命 令 行 显示 信息 


























在 通过 VRP 系 统 中 的 display 命 令 查看 显示 信息 时 ， 可 以 使 用 正则 表达 式 〈 即 指定 显示 规则 ) 来 过 滤 显 
示 信 息 。 过 滤 命令 行 显示 信息 可 以 帮助 用 户 迅 速 碍 找到 所 需要 的 信息 。 
过 滤 命令 行 显示 信息 的 使 用 方法 有 以 下 两 种 。 




































































(1) 在 命令 中 指定 过 滤 方 式 ， 在 命令 行 中 通过 输入 begin、exclude 或 include 关 键 字 加 正则 表达 式 的 方式 
来 过 滤 显 示 。begin 关键 字 是 显示 特定 行 和 其 以 后 的 所 有 行 ， 该 特定 行 必须 包含 指定 正则 表达 式 ; exclude 关 
键 字 用 来 显示 不 包含 指定 正则 表达 式 的 所 有 行 ，include 关 键 字 用 来 指定 只 显示 包含 指定 正则 表达 式 的 所 有 
行 。 



























































(2) 在 分 屏 显 示 时 指定 过 滤 方 式 ， 在 分 屏 显 示 时 ， 使 用 %”、“ 一 ”或 “+” 符 号 加 正则 表达 式 的 方式 ， 可 
以 对 还 未 显示 的 信息 进行 过 滤 显 示 。 其 中 ,，“/ 等 同 关 键 字 begin; “一 ”等 同 关键 字 exclude; “+” 等 同 关键 字 
include。 
1. 通过 正则 表达 式 过 滤 
正则 表达 式 描述 了 一 种 字符 串 匹 配 的 模式 ， 由 普通 字符 《例如 字符 a 到 z) 和 特殊 字符 (或 称 “元 字 
符 ”) 组 成 。 正 则 表达 式 作为 一 个 模板 ， 将 某 个 字符 模式 与 所 搜索 的 字符 串 进 行 匹 配 。 
正则 表达 式 一 般 具 有 以 下 功能 。 
(1) 检查 字符 串 中 符合 某 个 规则 的 子 字符 上 
(2) 根据 匹配 规则 对 字符 串 进行 蔡 换 操作 。 
(3) 正则 表达 式 由 普通 字符 和 特殊 字符 组 成 。 
普通 字符 匹配 的 对 象 是 普通 字符 本 身 ， 包 括 所 有 的 大 写 和 小 写字 母 、 数 字 、 标 点 符号 以 及 一 些 特殊 符 
号 。 例 如 : a 匹配 abc 中 的 a，202 匹 配 202.113.25.155 中 的 202，@[ 匹 配 xxx@xxx.com 中 的 @。 正 则 表达 式 为 1~ 
255 个 字符 的 字符 串 ， 区 分 大 小 写 。 它 还 支持 多 种 特殊 字符 ， 特 殊 字 符 的 匹配 规则 如 表 2-8 所 示 。 
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， 并 可 以 获取 该 子 字符 串 。 
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表 2-8 特殊 字符 及 其 语法 意义 描述 


特殊 字符 含义 使 用 说 明 





行 首 匹配 符 ，string 只 能 出 现在 每 行 的 “^user” 只 能 匹配 以 user 开始 的 行 ， 不 能 
开始 匹配 以 像 Auser 或 者 其 他 字符 开始 的 行 
行 尾 匹配 符 ，string 只 能 出 现在 每 行 的 | 如 “user$ ”只 能 匹配 以 user 结尾 的 行 , 不 能 


Astring 









string$ 





末尾 匹配 以 像 userA 或 者 其 他 字符 结尾 的 行 
句点, 通配符 ,匹配 任何 一 个 字符 , 包 | 如 “J”( 这 是 工 的 小 写 ， 不 是 数字 1) 可 以 
括 单个 字符 、 特 殊 字符 和 空格 等 配置 van 和 mpls 等 
网 A A 如 “zo*” 可 以 匹配 z (匹配 前 面 的 字符 ) 和 
星 号 ， 匹 配 “s， 字符 或 字符 hare 和 
* 星 号 ， 匹 配 “*” 前 面 的 字符 或 字符 组 | zoo (匹配 前 面 的 字符 组 )，(zoj* (此 时 仅 可 


零 次 或 多 次 


时 Tr 
十 加 号 ， ,时 本 +” 前面 的 字符 或 字符 组 如 “zo+” 可 以 匹配 zo 和 zoo， 但 不 能 匹配 z 
次 或 多 次 
竖 线 ， 匹 配 “|” 左 边 的 整个 字符 串 或 
者 右边 的 整个 字符 串 
下 划 线 , 该 字符 出 现在 表达 式 的 开头 或 
履 于 行 首 匹配 符 或 行 尾 匹配 | 如 “a_b” 可 以 匹配 “ab” 和 “a(b” 等 ; 而 
特殊 字符 ^ 或 $S)， 其 他 情况 下 等 | “″ ab” 却 只 能 匹配 以 ab 开头 的 行 ;“ab ”只 
号 、 空 格 或 者 作为 普通 字符 时 的 | 能 匹配 以 ab 结束 的 行 
号 、 碳 括号 、 左 大 括号 、 右 大 括号 
连接 符 ， 用 于 连接 两 个 数值 或 字母 (小 
- 的 在 前 ， 大 的 在 后 )， 与 “[ ]” 符 号 连 
用 表示 一 个 范围 


以 匹配 字符 组 ) 可 以 匹配 zo 和 zozo 








如 “deflint” 只 能 匹配 包含 def 或 int 的 字符 串 



















如 从 1 到 9 表示 为 1-9 (包括 1 和 9); 从 a 
到 h 表示 为 ah (包括 a 和 h) 














( 续 表 ) 


使 用 说 明 

如 “[16A]” 表 示 可 以 匹配 到 的 字符 串 只 需 
要 包含 1、6 或 A 中 任意 一 个 ;“[1-36A]” 
友 示 字符 选择 范围 将 以 选择 范围 内 的 | 表示 可 以 匹配 到 的 字符 串 只 需要 包含 1、2、 
示 字 符 选择 范围 , ; : ee 
单个 字符 为 条 件 进行 匹配 , 只 要 字符 串 tse nmi aR 
里 包含 该 范围 的 某 个 字符 就 能 匹配 型 ST 

包含 该 范围 的 某 个 字符 就 能 下 配 到 | 必须 把 “]” 写 在 [ ] 内 字符 的 最 前 面 ， 形 如 
“[string] ”才能 匹配 到 ]， 而 “[” 没 有 这 样 
的 限制 
如 “(123A)” 表 示 字 符 组 123A;“408(12)+” 
可 以 匹配 40812 或 408121212 等 字符 囊 , 但 
不 能 匹配 408 
表示 重复 一 次 指定 字符 组 , 字符 组 是 指 | 如 “Cstring)N1 ”表示 把 string 重复 一 次 ， 区 
\ 前 用 0 括 起 来 的 字符 囊 ，index 对 应 前 | 时 的 字符 申 必 须 包 会 stringstring ; 
字符 组 的 顺序 号 按 从 左 至 右 的 顺序 从 1 | ,Gine1D)Gwing2)2， 表 下 把 sting2 重复 
index | 开始 编号 ; 如 果 \ 前 面具 有 一 个 字符 组 , | 次 ， 匹配 的 学 符 串 必须 包含 
则 index 只 能 为 1; 如 果 \ 前 面 有 个 字 | stringlsting2string2; (stringl)(sting2 和 NI2 
符 组 ， 则 index 可 以 为 1~n 中 的 任意 | 表 耕 先 把 string! 看 竖 “ 次 ,各 重复 “次 
整数 string2 ， 匹配 的 字符 串 必 须 包 合 
Ws stringlstring2stringlstring2 

如 “[^16A]” 表 示 可 匹配 的 字符 串 只 需要 包 

表示 选择 范围 外 的 字符 , 将 以 单个 字符 | 含 1、6 和 A 之 外 的 任意 字符 ， 该 字符 串 也 
为 条 件 进行 匹配 , 只 要 字符 串 里 包含 该 | 可 以 包含 字符 1、6 或 A, 但 不 能 只 包含 这 3 
范围 外 的 某 个 字符 就 能 匹配 到 个 字符 。 比 如 “[^16A]” 可 以 匹配 abe、 m16， 
不 能 匹配 1、16、16A 
如 “\<do” 可 以 匹配 单词 domain, 还 可 以 匹 
配 字符 串 doa 
如 “do\>” 可 以 匹配 单词 undo， 还 可 以 匹配 


siring\> 匹配 以 string 结尾 的 字符 串 字符 申 abedo 











表示 字符 组 , 一 般 与 “+” 或 “*” 等 符 
号 一 起 使 用 











\<string 匹配 以 string 开头 的 字符 串 








匹配 characterlcharacter2, charactel 
\beharacter2 | 可 以 是 除了 数字 、 字 母 和 下 划 线 外 的 任 
意 字 符 ，\b 等 效 于 [^A-Za-z0-9 ] 

匹配 到 的 字符 串 中 必须 包含 字符 | 如 Bt” 可 以 匹配 install 中 的 +， 而 不 能 匹 
character， 且 .character 前 不 能 是 空格 | 配 bigtop 中 的 t 

匹配 characterlicharacter2，character2 | 如 “vw” 能 匹配 到 vlan，v 为 characterl， 
characterl\Ww | 必须 是 数字 、 字 苹 或 下 划 线 ，\Ww 相当 | 1 为 character2，viw 还 能 匹配 service，i 为 
于 [A-Za-z0-9 ] character2 

如 “Wa” 可 以 匹配 -a，- 为 characterl，a 
为 character2， 但 是 不 能 匹配 2a 和 ba 等 

如 “MW” 可 以 匹配 包含 \ 的 字符 串 , “WW” 可 以 
匹配 包含 ^ 的 字符 串 ,，“\Wb” 可 以 匹配 包含 \b 
的 字符 串 


在 实际 应 用 中 ， 往 往 不 是 一 个 普通 字符 加 上 一 个 特殊 字符 配合 使 用 ， 而 是 由 多 个 普通 字符 和 特殊 字符 
组 合 ， 匹 配 某 些 特 征 的 字符 上 
说 明 
某 些 特殊 字符 如 果 处 在 如 下 的 正则 表达 式 的 特殊 位 置 时 ， 会 引起 退化 ， 这 些 特殊 字符 又 将 成 为 普通 字 


如 “\ba” 可 以 匹配 -a，-- 为 character1，a 为 
characfer2， 但 是 不 能 匹配 2a 和 ba 等 








\Bcharacter 








等 效 于 \b 





转 义 操作 符 ，\ 后 紧 跟 本 表 列 的 单个 特 
殊 字符 时 , 将 去 除 特 殊 字 符 的 特定 含义 
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e 特殊 字符 处 在 转 义 符号 修之 后 ， 则 发 生 转 义 ， 变 为 匹配 该 字符 本 身 。 

e 特殊 字符 “*”、“+”“?”， 处 于 正则 表达 式 的 第 一 个 字符 位 置 。 例 如 : +45 匹配 +45，abc(*def) 匹 配 
abc*def。 

e 特殊 字符 “ 心 ， 不 在 正则 表达 式 的 第 一 个 字符 位 置 。 例 如 : abc^ 匹 配 abc^。 

e 特殊 字符 “$”， 不 在 正则 表达 式 的 最 后 一 个 字符 位 置 。 例 如 : 12$2 匹 配 12$2 。 

e 石 括号 “)” 或 者 ”没有 对 应 的 左 括 号 “(”* 或 “[”*”。 例 : abc] 匹配 abc)，0-9) 匹 配 0-9)。 

2. 在 命令 中 指定 过 滤 方 式 

华为 交换 机 可 采用 正则 表达 式 实现 管道 符 “|* 的 过 滤 功 能 ， 但 并 非 所 有 display 命令 均 支 持 管 道 符 。 当 显 
示 信 息 内 容 很 多 时 ， 此 display 命令 支持 管道 符 ， 当 显示 信息 内 容 很 少时 ， 此 display 命 令 不 支持 管道 符 。 

按 过 滤 条 件 进 行 查询 时 ， 显 示 内 容 的 第 一 行 信息 中 以 包含 该 字符 串 的 整 条 信息 作为 起 始 。 在 支持 正则 
表达 式 的 命令 中 ， 有 3 种 过 滤 方 式 可 供 选 择 。 






















































































e |begin regular-expression: 输出 以 匹配 指定 正则 表达 式 的 行 开 始 的 所 有 行 。 即 过 滤 掉 所 有 待 输出 字符 
让， 直到 出 现 指定 的 字符 串 〈 此 字符 串 区 分 大 小 写 ) 为 止 ， 其 后 的 所 有 字符 串 都 会 显示 到 界面 上 。 
e | exclude regular-expression: 输出 不 匹配 指定 正则 表达 式 的 所 有 行 。 即 待 输出 的 字符 串 中 如 果 没 有 包 
含 指定 的 字符 串 (此 字符 串 区 分 大 小 写 ) ， 则 会 显示 到 界面 上 ; 否则 过 滤 不 显示 。 
e | include regular-expression: 只 输出 匹配 指定 正则 表达 式 的 所 有 行 。 即 待 输出 的 字符 串 中 如 果 包 含 指 
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定 的 字符 串 《〈 此 字符 串 区 分 大 小 号) ， 则 会 显示 到 界面 上 ; 否则 过 滤 不 显示 。 
【示例 1】 执 行 命令 display interface brief， 显 示 不 匹配 正则 表达 式 “EthernetINULLITunnel” 的 所 有 行 。 其 
中 一 个 即 不 显 
































中 的 管道 符 中 包括 的 “EthernetINULLITunnel” 表 示 只 要 匹配 “Ethernet”、“NULL” 或 “Tunnel” 其 
示 。 





<HUAWEI>display interface brief | exclude Ethernet[NULL|Tunnel 
PHY: Physical 

*down: administratively down 

Adown: standby 

(D): loopback 

(s): spoofing 

(b): BFD down 

(e): ETHOAM down 

(dl): DLDP down 

(d): Dampening Suppressed 

InUti/OutUti: input utility/output utility 

Interface PHY Protocol mUti OutUti inErrors outErrors 
Eth-Irunkl down down 0% 0% 0 0 

Eth-Trunk17 down down 0% 0% 0 0 

LoopBackl up up(s) 0% 0% 0 0 


Vlanifl] up down -- -- 0 0 
MEth0/0/1 down down 0% 0% 0 0 
Vlanif2 down down -- -- 0 0 
Vlanifl0 down down -- -- 0 0 
Vlanifl2 down down -- -- 0 0 
Vlanifl3 down down -- -- 0 0 
Vlanif20 up up -- -- 0 0 
Vlanif22 down down -- -- 0 0 
Vlanif222 down down -- -- 0 0 
Vlanif4094 down down -- -- 0 0 




















【示例 2】 执 行 命令 display current-configuration， 只 显示 匹配 正则 表达 式 “vlan” 的 所 有 行 。 
<HUAWEI>display current-configuration | include vlan 
vlan batch 2 10 101 to 102 800 1000 
vlan 2 
vlan 10 
port trunk pvid vlan 800 


undo port trunk allow-pass vlan 1 
port trunk allow-pass vlan 10 101 800 
undo port hybrid vlan 1 

undo port hybrid vlan 1 

port hybrid untagged vlan 10 

undo port hybrid vlan 1 

undo port hybrid vlan 1 

3. 在 分 屏 显 示 时 指定 过 滤 方 式 
支持 在 分 屏 显 示 时 指定 过 滤 方 式 的 命令 行 有 : 


e display current-configuration 














e display interface 

e display arp 

采用 分 屏 显 示 时 ， 可 以 在 分 屏 提示 符 “---- More ----” 中 指定 以 下 过 滤 类 型 : 
e /regular-expression: 输出 以 匹配 指定 正则 表达 式 的 行 开始 的 所 有 行 。 

e 一 regular-expression: 输出 不 匹配 指定 正则 表达 式 的 所 有 行 。 

e +regular-expression: 只 输出 匹配 指定 正则 表达 式 的 所 有 行 。 































































































2.3 VRP 文 件 系 统管 理 
































文件 系统 管理 就 是 用 户 对 交换 机 中 存储 的 文件 和 目录 的 访问 管理 ， 如 用 户 可 以 通过 命令 行 对 文件 或 目 
录 进 行 创 建 、 移 动 、 复 制 、 删 除 等 操作 ， 并 可 对 交换 机 存储 器 进行 管理 。 它 们 都 是 在 用 户 视图 下 进行 的 。 
VRP 系 统 是 基于 Linux 操 作 系统 平台 进行 二 次 开发 的 ， 所 以 它 的 文件 系统 管理 命令 和 操作 方法 与 我 们 常用 的 
Linux 系 统 中 的 对 应 操作 方法 完全 一 样 〈 其 实 许多 命令 也 与 早期 的 DOS 系 统 是 一 样 的) 。 





















































































































































2.3.1VRP 文 件 系统 概述 





华为 $ 系 列 交换 机 上 的 所 有 文件 〈 如 配置 文件 、 系 统 软 件 等 ) 都 是 以 VRP 文 件 系 统 的 方式 被 有 效 地 管 
里 。VRP 文件 系统 实现 两 类 功能 ， 管 理 存储 器 (包括 flash: 和 cfcard: 存 储 器 ) 和 管理 保存 在 存储 器 中 的 文 
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1. VRP 系 统 文件 名 格式 

VRP 系 统 中 的 文件 名 都 是 字符 串 形 式 ， 长 度 范围 是 1 一 160， 不 区 分 大 小 写 。 文 件 名 有 两 种 表示 方式 : 
文件 名 、 路 径 + 文 件 名 。 如 果 直 接 使 用 这 种 文件 名 ， 则 表示 当前 工作 路 径 下 的 文件 。 

如 果 文 件 不 在 当时 工作 路 径 下 ， 则 格式 为 drive + path + filename， 直 接 指定 到 某 路 径 下 的 文件 名 。 其 中 
drive 是 交换 机 中 的 存储 器 ， 命 名 为 flash: 或 cfcard: 。 如 果 交 换 机 在 堆 暑 情况 下 ， 则 drive 的 命名 如 下 。 

e flash: 堆 共 系统 中 主 交 换 机 Flash 存 储 器 根 目录 。 

e 模 位 号 #ftlash: 堆 合 系统 中 某 槽 位 号 的 Flash 存 储 器 根 目 录 。 

例如 : slot2#flash: 是 指 槽 位 号 2 的 Flash 卡 。 

path 是 指 存储 器 中 目录 以 及 子 目 录 ， 即 路 径 。 目 录 名 使 用 的 字符 不 可 以 是 空 
烙 “3 字符; 不 区 分 大 小 写 。 

2. 绝对 路 径 与 相对 路 径 

交换 机 支持 的 路 径 可 以 是 绝对 路 径 也 可 以 是 相对 路 径 。 指 定 根 目录 《〈 指 定 drive) 的 路 径 是 绝对 路 径 ， 













































































































































































相对 路 径 有 相对 于 根 目录 〈 即 当前 的 存储 器 目录 〉 的 路 径 和 相对 于 当前 工作 路 径 的 路 径 ， 路 径 以 “2 开头 ， 
则 表示 相对 于 根 目 录 的 路 径 。 














若 路 径 为 “flash:/my/test/”， 





相对 于 根 目录 的 相对 路 径 ; 和 若 路 径 为 “selftest/”， 


对 路 径 。 


例如 用 dir flash:/my/test/mytest.txt 命 令 查 看 flash:/my/test/ 路 径 下 的 mytest.txt 文 件 
径 表 示 方 法 。 如 果 要 用 相对 于 根 目 录 的 路 径 来 表示 ， 则 可 以 使 月 





是 绝对 路 径 ; 若 路 径 为 “selftest/”， 





表示 为 根 目 录 下 的 selftest 目 录 ， 这 就 是 





表示 当前 路 径 下 的 selftest 目 录 ， 这 是 相对 于 当前 路 径 的 相 














的 信息 ， 这 是 一 种 绝对 路 
日 以 下 命令 :dir/my/test/mytest.txt; 如 果 要 用 





相对 于 当前 路 径 的 路 径 (假设 当前 工作 路 径 为 flash:/my/)， 则 使 用 dir test/mytest.txt 命 令 





2.3.2 目录 管理 





当 需 要 在 客户 端 与 服务 器 端 进行 文件 传输 时 ， 需 要 使 用 文件 系统 对 目录 进行 配置 。 





用 户 视图 命令 来 进行 相应 的 




















可 以 使 用 表 2-9 中 的 














目录 操作 ， 包括 创建 台 抽 除 目录 . 显示 当前 的 工作 目录 、 指 定 目 录 下 文件 或 目 








录 的 信息 等 。 





表 2-9 VRP 系 统 目录 操作 命令 





创建 目录 


mkdir directory 


创建 指定 目录 ， 但 所 创建 的 目录 名 不 能 与 指定 目录 下 的 
其 他 目录 或 文件 名 重 名 。 参 数 directory 用 来 指定 要 创建 
i 长 度 为 1 一 64 个 字符 。 建议 采用 “了 豫 
动 器 名 ” i md EL 的 组 合 。 人 
名 估 用 的 字符 不 可以 是 和 、 机 

等 字符 ， 不 区 分 大 小 写 。 如 果 不 指 定 目录 路 径 
则 代表 当 在 前 目录 下 创建 





删除 目录 


rmdir directory 





删除 指定 目录 。 参 数 directory 用 来 指定 要 删除 的 目录 (包括 
路 径 )， 其 他 说 明 同 上 面 介绍 的 mkdir 命令 的 该 参数 说 明 。 
如 果 不 指定 目录 路 径 ， 则 代表 当 在 前 路 径 下 删除 指定 的 目录 
所 删除 的 目录 必须 为 空 目录 ， 和 否则 将 无 法 进行 操作 ; 另 
外 ， 执 行 本 命令 后 ， 在 回收 站 中 的 原来 属于 该 目录 中 的 
文件 也 会 被 自动 删除 








显示 


当前 路 径 


进入 指定 
的 目录 


显示 
文件 信息 


所 用 命令 


cd directory 


S2700/3700 系列 交换 机 : 
dir [ /all ] [filename | flash: ] 
S5700/6700/7700/9700 系列 
交换 机 : 

dir [ /all ] [ filename | directory |/ 
all-filesystems ] 





说 明 


仅 用 来 显示 当前 所 处 的 目录 路 径 信 息 


修改 当前 工作 路 径 或 切换 至 其 他 存储 器 交换 机 的 目录 。 

参数 directory 用 来 指定 要 进入 的 目标 目录 名 ， 其 他 说 明 
同上 面 介绍 的 mkdir 命令 的 该 参数 说 明 ， 例 如 : 

cfcard:/selftest/test/ 

查看 存储 器 中 指定 的 文件 和 目录 的 信息 ， 支 持 通 配 符 
“*”。 命令 中 的 参数 和 选项 说 明 如 下 。 

(1) /all: 可 选项 ， 指 定 查 看 当前 路 径 下 的 所 有 的 文件 和 
目录 ， 包 括 已 经 放 入 回收 站 的 文件 。 在 回收 站 中 的 文件 
名 用 “[]” 标 识 

(2) filename: 可 选 参 数 , 指定 要 显示 的 文件 名 称 ， 为 1 一 
160 Way 建议 采用 “驱动 器 名 ”十 “:” 十 “/” 十 “ 目 
录 名 ” ”十 “文件 名 ”的 组 合 。 其 中 目录 名 使 用 的 
学 不 可 以 十 空 Ns 

等 字符 ， 不 区 分 大 小 写 

(3) directory: 多 选 一 可 选 参数 , 指定 要 显示 的 目录 路 径 ， 

其 他 说 明 同 上 面 介绍 的 mkdir 命令 的 该 参数 说 明 

(4) flash:: 二 选 一 可 选项 ， 表 示 查 看 办 存根 目录 下 的 所 
有 文件 和 目录 

(5) /all-filesystems: 多 选 一 可 选项 ， 指 定 显示 交换 机 上 
所 有 存储 器 根 目录 中 文件 和 目录 的 信息 








( 续 表 ) 





























表 中 的 “驱动 器 名 ”， 在 S2700、S3700、S5700 和 S6700 系 列 中 仅 指 闪存 “flash: ”这 个 冒号 不 能 少 ) ， 

但 在 S770 和 S9700 系列 中 ， 除 了 闪存 外 但 分 主 、 为 主 控 板 内 存 “flash: ”和 备用 主 控 板 内 
存 “slave#flash: ”) ， 还 包括 主 控 板 CF 卡 “cfcard: ”和 备用 主 控 板 CF 卡 “slave#cfcard: ”; 如 果 堆 车 交换 机 ， 
驱动 器 名 应 为 “ 框 号 / 柳 位 号 #cfcard: ”或 “ 框 号 / 柳 位 号 #flash: ” 
这 里 的 路 径 可 以 是 绝对 路 径 也 可 以 是 相对 路 径 。 相 对 路 径 有 相对 于 根 目录 “ 即 当 前 的 存储 器 目录 ) 的 
路 径 和 相对 于 当前 工作 路 径 的 路 径 ， 路 径 以 “开头 ， 则 表示 相对 于 根 目录 的 路 径 。 如 路 径 
为 “cfcard:/my/test”， 表 示 绝 对 路 径 ， 如 路 径 为 “/selftest”， 表 示 根 目录 下 的 selftest 目 录 ， 这 是 相对 于 根 目录 
的 相对 路 径 ， 如 路 径 为 “selftest”， 表 示 当 前 工作 路 径 下 的 selftest 目 录 ， 这 是 相对 于 当前 工作 路 径 的 相对 路 


Ps 
径 。 
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以 上 说 明 同 样 适用 于 下 节 将 要 介绍 的 VRP 文 件 系统 管理 。 
【示例 1】 在 当前 flash: 存 储 器 目录 下 创建 子 目 录 cfg。 执 行 命令 后 会 有 提示 信息 提示 该 目录 创建 成 功 。 
<HUAWEI>mkdir flash:/cfg 
Info: Create directory flash:/cfg. . .Done. 
【示例 2】 删除 当前 路 径 〈 主 控 板 CF 卡 根 目录 〉 下 的 test 子 目录 。 执 行 命令 后 会 有 提示 信息 要 求 你 再 一 
次 确认 ， 确 认 后 进行 删除 。 删 除 成 功 后 也 会 有 提示 信息 。 
<HUAWEI>rmdir test 
Remove directory cfcard:/test?[ Y/N]:y 
































































































































%Removing directory cfcard:/test. .Done! 





























【示例 3】 显 示 当 前 工作 路 径 。 从 输出 可 以 看 出 ， 当 前 的 工作 路 径 是 在 闪存 的 根 目录 下 。 
<HUAWEI>pwd 
flash: 





【示例 4】 从 当前 的 内 存根 目录 进入 闪存 下 的 test 目录 中 。 可 以 先 通过 pwd 命 令 查看 当前 路 径 ， 进 入 后 
同样 可 以 使 用 pwd 命 令 验证 当前 路 径 是 否 修改 成 功 。 
<HUAWEI>pwd 
flash: 
<HUAWEI> cd test 
<HUAWEI>pwd 
flash:/test 
【示例 5】 查 看 当前 路 径 下 的 test.bak 文 件 信息 。 
<HUAWEI> dir test.bak 
Directory of flash:/ 
0 -rw- 11779 Apr 05 2006 10:23:03 test.bak 
31877 KB total (15961 KB free) 
【示例 6】 查 看 当前 路 径 下 的 所 有 文件 的 目录 信息 。 
<HUAWEI>dir /all 
Directory of flash:/ 
ldx Attr Size(Byte) Date Time FileName 
0 -rw- 889 Feb 25 2012 10:00:58 private-data.txt 
1 -rw- 6,311 Feb 17 2012 14:05:04 backup.cfg 
2 -rw- 836 Jan 01 2012 18:06:20 rr.dat 

































































3 drw- - Jan012012 18:08:20 syslogfile 

4 -rw- 836 Jan 01 2012 18:06:20 rr.bak 

5 drw- - Feb 27 2012 00:00:54 resetinfo 

6 -rw- 523,240 Mar 16 2011 11:21:36 bootrom 53hib66.bin 

7 -rw- 2,290 Feb 25 2012 16:46:06 vrpcfg.zip 

8 -rw- 812 Dec 12 2011 15:43:10 hostkey 

9 drw- - Jan01 2012 18:05:48 compatible 

10 -rw- 25,841,428 Nov 17 2011 09:48:10 s-sbox_13b070.cc 

11 -rw- 540 Dec12 2011 15:43:12 serverkey 

12 -rw- 26,101,692 Dec 21 2011 11:44:52 s-sbox_13b120.cc 

13 -rw- 6,292 Feb 14 201211:14:32 1.cfg 

14 -rw- 6,311 Feb 17 2012 10:22:56 1234.cfg 

15 -rw- 6,311 Feb 25 2012 17:22:30 [1l.cfg] 
65,233 KB total (13,632 KB free) 
说 明 
在 以 上 输出 信息 中 ， 第 一 列 “Idx" 代 表 文 件 或 目录 的 索引 ， 或 者 称 序 号 ， 第 二 列 “Attr” 指 文件 或 目录 属 
性 。 它 分 为 四 部 分 ， 第 一 部 分 表示 是 文件 还 是 目录 ， 如 果 是 目录 则 显示 “d”， 如 果 是 文件 则 显示 “-”， 后 面 三 
部 分 均 表 示 当 前 用 户 对 该 目录 或 文件 所 具有 的 访问 权限 ，r 表 示 可 读 ，w 表 示 可 写 ，x 表 示 可 执行 。 因 为 是 在 
最 低级 别 的 用 户 视图 下 执行 ， 所 以 均 没 有 x《〈 可 执行 ) 权限 。 如 果 文 件 名 或 目录 名 用 所 ] ” 括 住 了 ， 则 表示 
该 文件 或 目录 是 在 当前 存储 器 的 回收 站 中 的 ， 如 上 面 的 [11.cfg] 。 


























忆 



















































































































































































2.3.3 文件 管理 















































可 以 使 用 表 2-10 中 的 用 户 视图 命令 (但 其 中 的 execute 和 file prompt 命 令 需要 在 系 统 视图 下 执行 ) 对 华 
为 $ 系 列 交 换 机 软件 系统 进行 相应 的 文件 操作 ， 包 括 删 除 文件 、 重 命名 文件 、 复 制 文件 、 移 动 文件 、 查 看 文 
件 的 内 容 、 显 示 指 定 文件 的 信息 等 。 
























































表 2-10 文件 管理 命令 











S2700/3700 系列 交换 机 : 


more filename 
S5700/6700/7700/9700 系列 交 


more filename [ offset ] [an] 


copy source-filename destination- 


复制 文件 | fyename [ail] 


move souce-filename destination- 
filename 


重 命名 目 
录 或 文件 


rename old-name new-name 


显示 指定 文件 内 容 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
(1) fitename: 指定 待 显示 文件 的 路 径 和 文件 名 。 其 他 
说 明 同 表 2-9 中 介绍 的 dir 命令 的 该 参数 说 明 

(2) offset: 可 选 参数 ， 指 定 待 显示 文件 的 偏 移 量 ， 取 
值 范围 是 〈0 一 2147483647) 整数 个 字 节 

(3) all: 可 选项 ， 指 定 一 次 显示 文件 内 的 全 部 内 容 ， 
不 进行 分 屏 显 示 

把 源 文 件 复制 为 目标 文件 ， 支 持 通配符 “*"。 命 令 中 
的 参数 和 选项 说 明 如 下 。 

(1) source-filename: 指定 被 复制 文件 的 路 径 名 或 源 文 
件 名 , 其 他 说 明 同 表 2-9 中 介绍 的 dir 命令 的 filename 
参数 说 明 

(2) destination-filename: 目标 文件 的 路 径 或 路 径 及 目 
标 文 件 名 , 其 他 说 明 同 上 面 介绍 的 dir 命令 的 filename 
参数 说 明 

【说 明 】 如 采 目 标 文件 的 目录 路 径 与 源 文件 的 目录 一 致 ， 
则 目标 文件 的 目录 路 径 可 省 略 ; 如 果 目 标 文件 名 与 源 文 
件 一 样 , 则 目标 文件 名 可 省 略 ; 如 果 目 标 文件 名 与 已 经 
存在 的 文件 重 名 , 会 提示 是 否 和 覆盖 ， 抬 作成 功 后 原 有 同 
名 文件 将 被 覆盖 ; 如 果 只 指定 目标 文件 的 路 径 ,而 没有 
指定 目的 文件 名 称 , 则 缺 省 是 使 用 源 文件 名 作为 目标 文 
件 名 ， 但 是 如 果 目 标 文件 和 被 复制 文件 在 一 个 目录 下 ， 
必须 指定 目标 文件 的 文件 名 ， 和 否则 复制 将 不 成 功 

(3) all: 可 选项 ， 复 制 文件 到 所 有 堆 需 成 员 交换 机 上 。 
此 可 选项 仅 可 在 堆 僻 交换 机 上 使 用 

将 源 文 件 从 指定 目录 移动 到 目标 目录 中 , 移动 时 有 确认 
提示 。 参数 source-filename 用 来 指定 被 移动 的 源 文 件 的 
路 径 和 文件 名 ， 参 数 destination-filename 用 来 指定 目标 
文件 的 路 径 和 文件 名 , 其 他 说 明 同 表 2-9 中 介绍 的 dir 
命令 的 filename 参数 说 明 。 但 此 命令 执行 的 源 文件 和 
目标 文件 必须 在 相同 的 存储 嚣 下， 否则 系统 会 报错 
如 果 目 标 文 件 名 与 已 经 存在 的 文件 重 名 ， 操 作成 功 后 
原 有 同名 文件 将 被 落 盖 ; 如 果 只 指定 目标 文件 的 路 径 ， 
而 没有 指定 目标 文件 名 称 ， 则 缺 省 是 使 用 源 文 件 名 作 
为 目标 文件 名 

对 目录 或 文件 进行 重 命名 ， 重 命名 时 有 确认 提示 。 参 
数 old-name 用 来 指定 当前 目录 名 或 文件 名 : new-name 
用 来 指定 重 命名 后 的 目录 名 或 文件 名 ， 甚 他 说 明 参 见 
表 2-9 中 mkdir 命令 中 的 参数 directory 说 明 

该 命令 不 支持 跨 路 径 的 文件 重 命名 ， 即 重 命名 的 源 目 
录 和 目标 目录 、 源 文件 和 目标 文件 必须 在 同一 路 径 下 ; 
且 如 果 目 标 文件 名 与 已 经 存在 的 目录 名 重 名 ， 或 者 目 
标 文件 名 与 已 经 存在 的 文件 名 重 和 名， 都 将 出 现 错误 提 
示 信 息 





续 


表 ) 


恢复 
回收 站 
中 的 文件 


zip source-filename 
destination- filename 


S2700/3700 系列 交换 机 : 
delete [ /unreserved ] 
filename [all] 
S5700/6700/7700/9700 交换 机 : 
delete [ /unreserved ] 


[ /quiet ] { filename | devicename } 


S2700/3700 系列 交换 机 ; 
undelete filename 
S5700/6700/7700/9700 交换 机 : 
undelete { filename | devicename } 


S2700/3700 系列 交换 机 ; 
reset recycle-bin [ filename ] 
S5700/6700/7700/9700 交换 机 : 


reset recycle-bin [ /ilename | 
devicename ] 


压缩 指定 文件 (压缩 后 的 文件 名 可 以 不 一 样 )， 但 要 注意 ， 
这 里 压缩 后 文件 大 小 不 仅 不 会 变 小 ， 还 可 能 变 大 ， 只 是 生 
成 了 压缩 格式 文件 , 便于 备份 。 参数 source-filename 用 来 指 
定 被 压缩 的 源 文件 名 ; 参数 destination-filename 用 来 指定 压 
缩 后 的 目标 文件 名 , 其 他 说 明 同 表 2-9 中 介绍 的 dir 命令 的 
filename 参数 说 明 。 压缩 后 的 文件 扩展 名 为 .zip 

如 果 只 指定 了 目标 文件 所 在 的 路 径 ， 但 未 指定 目标 文件 
名 ， 则 目标 文件 名 与 源 文件 名 相同 。 压 缩 后 ， 源 文件 仍 
然 存在 ， 但 只 能 对 文件 进行 压缩 ， 不 能 压缩 目录 
解压 缩 指 定 文件 〈 解 压缩 后 的 文件 名 可 以 不 一 样 )。 参 数 
source-filename 用 来 指定 被 解压 缩 的 源 文 件 名 : 参数 
destination-filename 用 来 指定 解压 缩 后 的 目标 文件 名 ， 其 他 
说 明 同 表 2-9 中 介绍 的 dir 命令 的 filename 参数 说 明 。 如 果 
只 指定 了 目标 文件 所 在 的 路 径 ， 但 未 指定 目标 文件 名 ， 则 
目标 文件 名 与 源 文件 名 相同 。 解 压缩 后 ， 源 文件 仍然 存在 
压缩 文件 的 类 型 必须 是 .zip 的 压缩 文件 , 如 果 是 其 他 类 型 
文件 ， 在 解压 缩 过 程 中 系统 会 提示 出 错 ， 且 压缩 文件 的 
源 文件 必须 是 单个 文件 ， 如 果 是 一 个 目录 或 者 多 个 文件 
可 能 会 导致 解压 缩 失 败 

删除 指定 文件 ， 支 持 通配符 “*”。 命 令 中 的 参数 和 选项 
说 明 如 下 。 

(1)》 funreserved: 可 选项 ， 指 定 被 铀 除 的 文件 不 可 以 使 
用 undelete 命令 恢复 

(2) filename: 指定 要 删除 的 文件 的 路 径 和 文件 名 。 其 他 
说 明 同 表 2-9 中 介绍 的 dir 命令 的 filename 参数 说 明 

(3) /quiet: 可 选项 ， 指 定 无 需 确认 直接 删除 文件 。 此 可 
选项 要 慎 用 ， 央 为 在 删除 过 程 中 不 会 再 有 确认 提示 了 

(4) al: 可 选项 ， 指 定 批量 删除 所 有 成 员 交 换 机 上 对 应 
路 径 下 的 文件 ， 仅 在 扒 释 交换 机 上 可 用 

恢复 被 删除 到 回收 站 中 的 文件 《恢复 时 会 有 确认 提示 )。 
命令 中 的 参数 说 明 如 下 。 

(1) fllename: 二 选 一 参数 ， 指 定 待 恢复 的 文件 名 ， 其 他 
说 明 同 表 2-9 中 介绍 的 dir 命令 的 该 参数 说 明 

(2) dewicename: 二 选 一 参数 ， 指 定 要 依次 恢复 指定 存储 器 
根 且 录 下 的 所 有 被 删除 文件 ， 取 什 可 以 是 flash:，cfeard: 

当 用 户 需 要 恢复 之 前 删除 过 的 文件 或 由 于 误 柑 作 删除 森 个 文件 
时 ， 只 要 不 是 永久 删 从 (执行 了 带 参数 unreserved 的 delete 命令 
或 执行 reset recycle-bin 命令 )， 都 可 以 使 用 此 命令 将 文件 恢复 ， 
恢复 的 文件 名 如 果 与 同 路 径 下 现 有 的 目录 名 重 名 ， 则 执行 失 
败 ; 若 与 当前 存在 的 文件 名 重 名 ， 将 会 提示 是 否 狗 盖 

彻底 删除 指定 路 答 下 回收 站 中 的 文件 ， 以 释放 空间 。 命 
令 中 的 参数 说 明 如 下 。 

(1) filename: 二 选 一 可 选 参数 , 指定 要 初 底 删除 的 文件 名 ， 
其 他 说 明 同 表 2-9 中 介绍 的 dir 命令 的 该 参数 说 明 

(2) devicename; 二 选 一 可 选 参数 ， 指 定 要 依次 彻底 删除 
指定 存储 器 根 旧 录 下 的 所 有 回收 站 中 的 文件 ， 取 值 可 以 
是 flash:，cfeard: 

如 末 不 选择 以 上 任何 可 选 参数 ， 则 依次 删除 用 户 当 前 工 
作 路 径 下 回收 站 中 的 文件 





文件 操作 


所 用 命令 


说 明 





执行 
指定 的 批 
处 理 文 件 


execute batch-filename 


执行 指定 的 批 处 理 文件 。 当 用 户 经 常 性 的 执行 一 系列 
命令 时 ， 则 可 以 将 这 些 命令 逐条 写 入 批 处 理 文件 ， 然 
后 将 此 文件 保存 在 交换 机 中 ， 以 后 只 需要 执行 此 命令 
就 可 以 完成 之 前 手动 输入 执行 的 多 条 命令 ， 帮 助 用 户 
提升 维护 管理 交换 机 的 效率 
参数 batch-filename 为 指定 要 执行 的 批 处 理 文件 名 ， 
以 .bat 为 后 级 ， 但 必须 在 系统 视图 下 执行 。 批 处 理 文 
件 可 以 在 文本 编辑 器 中 进行 编辑 ， 每 一 条 需 执行 的 命 
令 占 据 一 行 ， 然 后 将 文件 扩展 名 “.txt” 替 换 为 “.bat?” 
即 可 。 编 辑 好 的 批 处 理 文件 需要 通过 文件 传输 方式 上 
传 至 交换 机 中 ， 具 体 上 传 方法 将 在 下 章 介绍 











配置 
文件 系统 
提示 方式 








file prompt { alert | quiet } 











【示例 1】 显示 当前 目录 下 testcfg.cfg 配 置 文 伯 





< HUAWEI > more testcfg.cfg 


# 

sysname Sysname 

# 

configure-user count 5 
# 

vlan 2 

# 

TetuIn 


<Sysname> 


【示例 2】 将 文件 config.cfg 从 cfcard 存 储 器 的 根 目录 复制 到 cfcard:/temp 目 录 中 ， 





temp.cfg。 


修改 文件 操作 的 提醒 方式 。 如果 选 择 了 alert 二 选 一 选 
项 ， 则 对 用 户 进行 的 可 能 导致 数据 丢失 或 破坏 的 操作 
(比如 删除 文件 操作 等 ) 需 给 用 户 确认 和 警告 提示 ; 如 
果 选 择 了 quiet 二 选 一 选项 ， 则 所 有 操作 都 不 会 有 确 
认 提 示 ， 直 接 执行 

缺 省 情况 下 , 为 alert 方式 , 建议 不 要 修改 , 可 用 undo 
file prompt 命令 将 文件 操作 提醒 方式 恢复 为 缺 省 的 
alert 方式 












的 内 容 。 








<HUAWEI> copy cfcard:/config.cfg cfcard:/temp/temp.cfg 


Copy cfcard:/config.cfg to cfcard:/temp/temp.cfg?[Y/N]:y 


1009% complete./ 


Info: Copied file cfcard:/config.cfg to cfcard:/temp/temp.cfg. .Done. 
【示例 3】 如 果 当 前 目录 就 是 cfcard 根 目录 ， 可 以 采用 另 一 种 方法 《〈 即 采用 相对 路 径 方法 ) 以 完成 上 一 








个 示例 。 

<HUAWEI>pwd 

cfcard: 

<HUAWEI>dir 

Directory of cfcard:/ 
Idx Attr Size(Byte) Date Time FileName 
0 -rw- 6,721,804 Mar 19 2012 12:31:58 devicesoft.cc 
1 -rw- 910 Mar 19 2012 12:32:58 config.cfg 
2 drw- - Mar05 2012 09:54:34 temp 


509,256 KB total (52,752 KB free) 





目标 文件 





疏 
ou 


<HUAWEI> copy config.cfg temp/temp.cfg 

Copy cfcard:/config.cfg to cfcard:/temp/temp.cfg?[Y/N]:y 

100% complete./ 

Info: Copied file cfcard:/config.cfg to cfcard:/temp/temp.cfg. .Done. 

















【示例 4】 将 文件 config.cfg 从 cfcard 存 储 器 的 根 目录 复制 到 cfcard:/temp 目 录 
相同 。 
<HUAWEI>pwd 
cfcard: 
<HUAWEI>dir 
Directory of cfcard:/ 
Idx Attr Size(Byte) Date Time FileName 
0 -rw- 6,721,804 Mar 19 2012 12:31:58 devicesoft.cc 
1 -rw- 910 Mar 19 2012 12:32:58 config.cfg 
2 drw- - Mar052012 09:54:34 temp 


509,256 KB total (52,752 KB free) 

<HUAWEI> copy config.cfg temp 

Copy cfcard:/config.cfg to cfcard:/temp/config.cfg?[Y/N]:y 

100% complete./ 

Info: Copied file cfcard:/config.cfg to cfcard:/temp/contfig.cfg. .Done. 





























标 文 伯 


F 名 与 源 文件 名 





【示例 5】 当 前 工作 路 径 是 cfcard:/test/， 将 test 目 录 中 backup.zip 文 件 备份 保存 到 同 目录 的 backup1.zip 文 














件 中 。 
<HUAWEI>pwd 


cfcard:/test 











<HUAWEI> copy backup.zip backup1.zip 

Copy cfcard:/test/backup.zip to cfcard:/test/backup1.zip?[Y/N]:y 

100% complete./ 

Info: Copied file cfcard:/test/backup.zip to cfcard:/test/backup1.zip. .Done. 
【示例 6】 把 cfcard:/test/sample.txt 文 件 移 到 cfcard:/sample.txt。 

<HUAWEI>move cfcard:/test/sample.txt cfcard:/sample.txt 





Move cfcard:/test/sample.txt to cfcard:/sample.txt ?[Y/N]: y 
%Moved file cfcard:/test/sample.txt to cfcard:/sample.txt. 

【示例 7】 把 flash:/test/sample.txt 文 件 移动 到 flash:/sample.txt。 
<HUAWEI>move flash:/test/sample.txt flash:/sample.txt 








Move flash:/test/sample.txt to flash:/sample.txt ?[Y/N]:y 
%Moved file flash:/test/sample.txt to flash:/sample.txt. 

【示例 8】 将 cfcard:/test/ 路 径 下 的 mytest 目 录 重 命名 为 yourtest。 
<HUAWEI>pwd 


cfcard:/test 





<HUAWEI> renamemytest yourtest 


Rename cfcard:/test/mytest to cfcard:/test/yourtest ?[Y/N]:y 

Info: Rename file cfcard:/test/mytest to cfcard:/test/yourtest . . .Done. 
【示例 9】 重 命名 文件 sample.txt 为 sample.bak。 

<HUAWEI> rename sample.txt sample.bak 





mh 





Rename cfcard:/sample.txt to cfcard:/sample.bak ?[Y/Nl:y 
Info:Rename file cfcard:/sample.txt to cfcard:/sample.bak . . . .Done. 
【示例 10】 将 根 目 录 下 log.txt 文 件 压缩 到 test 目 录 下 log.zip 文 件 

<HUAWEI>dir 
Directory of cfcard:/ 

ldx Attr Size(Byte) Date Time FileName 

0 -rw- 155 Dec 02 2011 01:28:48 log.txt 

1 -rw- 9,870 Oct01 2011 00:22:46 patch.pat 

2 drw- - Mar22 2012 00:00:48 test 

3 -rw- 836 Dec22 2011 16:55:46 1r.dat 





o 





509,256 KB total (52,752 KB free) 
<HUAWEI> zip log.txt cfcard:/test/log.zip 
Compress cfcard:/log.txt to cfcard:/test/log.zip?[Y/N]:y 
100% complete 
%Compressed file cfcard:/log.txt to cfcard:/test/log.zip. 
<HUAWEI> cd test 
<HUAWEI>dir 
Directory of cfcard:/test/ 
ldx Attr Size(Byte) Date Time FileName 
0 -rw- 836 Mar20 2012 19:49:14 test 
1 -rw- 239 Mar 22 2012 20:57:38 test.txt 
2 -rw- 1,056 Dec 02 2011 01:28:48 log.txt 
3 -rw- 240 Mar 22 2012 21:23:46 log.zip 
509,256 KB total (52,751 KB free) 
【示例 11】 当 前 工作 路 径 是 cfcard:/selftest， 要 删除 此 路 径 下 cfcard:/selftest/test.txt 文 件 
<HUAWEI>delete test.txt 
Delete cfcard:/selftest/test.txt?[Y/N]:y 





Info: Deleting file cfcard:/selftest/test.txt. .succeeded. 

【示例 12】 恢 复 被 删除 的 文件 sample.bak。 
<HUAWEI>undelete sample.bak 
Undelete cfcard:/sample.bak ?[Y/N]:y 
% Undeleted file cfcard:/sample.bak. 

【示例 13】 删 除 flash: 根 目录 下 test 目 录 回 收 站 中 test.txt 文 件 。 
<HUAWEI> reset recycle-bin flash:/test/test.txt 
































Squeeze flash:/test/test.txt?[ Y/N]:y 


9%6Cleared file flash:/test/test.txt. 
【示例 14】 执 行 cfcard:/ 目 录 下 的 test.bat 批 处 理 文件 。testbat 文 件 中 包含 以 下 命令 : system-view、aaa、 
local-user huawei password cipher huawei@123。 
<HUAWEI>system-view 
[HUAWEI] execute test.bat 


[HUAWEI] 
入 



































Error: Unrecognized command found at '\' position. 

[HUAWEI] 

[HUAWEI-aaal 

Info: Add a new user 

[HUAWEI-aaal 

[HUAWEI-aaal 

当 执 行 第 一 条 system-view 命令 时 ， 因 为 当前 正在 系统 视图 下 ， 所 以 提示 错误 ， 接 着 继续 执行 下 面 的 命 
令 ， 如 添加 了 一 个 新 的 用 户 huawei。 





























2.3.4 存储 器 管理 





























在 PC 机 中 经 常 要 进行 磁盘 的 维护 与 管理 ， 如 格式 化 磁盘 、 修 复 文 件 系 统 ， 在 网 络 交换 机 中 同样 需要 类 
似 的 管理 ， 那 就 是 对 它们 的 存储 器 进行 维护 和 管理 。 在 S2700、S3700、S5700 和 S6700 系 列 交 换 机 中 的 存储 
器 就 是 Flash: 闪 存 ， 在 S7700 和 S9700 系 列 交 换 机 中 还 有 CF 卡 存储 器 。 

1. 格式 化 存储 器 

当 文 件 系 统 的 异常 (如 在 dir 命 令 的 输出 显示 信息 中 含有 unknown 信 息 时 〉 无 法 修复 或 者 确认 不 再 需要 
存储 器 上 的 所 有 数据 时 ， 可 格式 化 存储 器 。 但 要 注意 ， 与 格式 化 PC 中 的 硬盘 一 样 ， 格 式 化 后 会 清空 存储 器 
中 的 所 有 文件 和 目录 。 

格式 化 存储 器 的 方法 与 DOS 下 的 格式 化 命令 一 样 ， 也 是 format， 就 是 直接 在 用 户 视图 下 执行 format 
devicename 命 令 。 这 里 的 参数 devicename 就 是 指 要 格式 化 的 存储 嚣 交换 机 名 称 ， 在 S2700、S3700、S5700 和 
S6700 系 列 交换 机 只 有 flash: 交 换 机 ， 在 S7700 和 S9700 系 列 交 换 机 中 有 主 控 板 闪 存 “flash: ”， 备 用 主 控 板 闪 
存 “slave#flash: ”， 除 此 之 外 还 有 主 控 板 CEF 卡 “cfcard: ”， 备 用 主 控 板 CF 卡 “slave#kcfcard: ”。 

【示例 1】 格 式 化 flash: 存储 器 。 
<HUAWEI>format flash: 
All data(include configuration and system startup file) on flash: will be lost, proceed with format ? [Y/N]: :y 




































































































































































































































































%Format flash: completed. 

2. 修复 文件 系统 

当 存 储 器 上 的 文件 系统 出 现 异常 时 ， 终 端 会 给 出 提示 信息 ， 建 议 修复 一 下 存储 器 上 的 文件 系统 。 与 PC 
机 上 的 磁盘 修复 命令 一 样 ，VRP 的 文件 系统 修复 命令 也 是 fixdisk 命 令 ， 其 格式 为 fixdisk devicename， 但 不 确 
保修 复 成 功 。 命 令 中 的 参数 devicename 是 指定 要 修复 文件 系统 的 存储 器 交换 机 ， 不 同 交 换 机 上 的 存储 器 交换 
机 同上 面 介绍 

【示例 2] 终端 显示 如 存储 器 CF 卡 出 错 ， 进 行 修复 。 
Lost chains in cfcard detected, please use fixdisk to recover them! 
<HUAWEI> fixdisk cfcard: 





Ee 










































































% Fix disk cfcard: completed. 


2.4 VRP 系 统 的 组 成 








VRP 系 统 在 启动 时 需要 加 载 “ 系 统 软件 ”和 “配置 文件 ”两 部 分 ， 这 与 其 他 品牌 网 络 交 换 机 的 操作 系统 是 一 














样 的 。 如 果 指 定 了 下 次 启动 的 补丁 文件 ， 还 需 加 载 补丁 文件 。 
1， 对 交换 机 进行 升级 操作 ， 即 系统 软件 从 低 版 本 升级 至 高 版 本 

















医改 VRP 系 统 启动 的 场景 一 般 有 以 下 几 种 。 





当 增 加 了 新 特性 或 者 需要 对 原 有 性 能 进行 优化 以 及 解决 当前 运行 版 本 落后 的 问题 时 ， 则 需要 对 交换 机 
































进行 升级 。 此 时 需要 加 载 高 版 本 的 系统 软件 ， 并 重新 启动 交换 机 来 实现 。 





2. 对 交换 机 进行 降级 操作 (版 本 回 退 ) ， 即 系统 软件 从 高 版 本 降级 至 低 版 本 














交换 机 完成 升级 后 ， 如 果 业 务 出 现 异 常 ， 为 保证 业务 正常 可 以 先 将 交换 机 版 本 进 

















载 低 版 本 的 系统 软件 ， 并 重新 启动 交换 机 来 实现 。 









































3. 对 一 个 新 交换 机 加 载 已 有 的 满足 用 户 需 求 的 配置 文件 






































新 交换 机 中 只 包含 了 出 广 时 的 缺 省 配置 ， 如 果 需 要 使 这 人 台新 交换 























户 在 交换 机 上 进行 大 量 的 配置 ， 花 费 不 少时 间 。 对 于 这 种 ! 


























的 配置 文件 ， 然 后 重新 启动 交换 机 即 可 ， 大 大 提升 了 用 户 对 交换 机 的 配置 效率 。 














4. 对 交换 机 指定 升级 后 的 补丁 文件 











可 在 交换 机 升级 的 同时 指定 之 前 未 安装 过 的 补丁 文件 ， 





2.4.1VRP 系 统 软件 


























华为 VRP 系 统 包括 “软件 系统 "和 “配置 文件 ”两 大 部 分 ， 
文件 。 
华为 $ 系 列 交 换 机 的 VRP 软 件 系统 包括 “BootROM 软 件 





























化 的 BIOS 系 统 和 硬盘 中 安装 的 各 种 操作 系统 。 交 换 机 加 电 后 ， 先 运行 BootROM 软 件 ， 
换 机 的 硬件 参数 ， 再 运行 系统 软件 。 系 统 软件 一 方面 提供 对 人 硬 伯 





















































行 


1 连接 至 网 络 再 运行 业务 ， 则 需要 用 
情况 ， 只 需要 为 这 台新 交换 机 指定 满足 用 户 需求 









































升级 完成 后 补丁 也 会 立即 生效 。 


本 节 先 介绍 VRP 软 件 系统 ， 下 节 将 介绍 VRP 配 置 


”和 "系统 软件 ”两 部 分 ， 分 别 如 PC 机 主板 芯片 上 回 
初始 化 硬件 并 显示 交 









































F 的 驱动 和 适 配 功能 ， 男 一 方面 实现 了 业务 

















功能 特性 ，BootROM 软件 与 系统 软件 是 交换 机 启动 、 运 行 的 必 备 软件 ， 为 整个 交换 机 提供 支撑 、 管 理 、 业 





务 等 功能 。 


交换 机 在 升级 时 包括 升级 BootROM 软件 和 升级 系统 软件 。 























目前 交换 机 的 系统 软件 




















已 经 包含 了 


BootROM 软 件 ， 所 以 在 升级 系统 软件 的 同时 即 可 自动 升级 BootROM 软 件 。 也 正 因 如 此 ， 现 在 所 说 的 VRP 系 











统 软件 其 实 就 代表 了 整个 VRP 软 件 系统 。 
1. VRP 系 统 软件 版 本 




















华为 VRP 系 统 软件 版 本 分 为 “核心 版 本 (或 者 “内 核 版 本 ”) 和 “发 行 版 本 ”两 种 。 其 中 的 核心 版 本 是 用 来 
开发 具体 交换 机 VRP 系 统 的 基础 版 本 ， 也 就 是 通常 所 说 的 VRP 1.x、2.x、3.x， 以 及 现在 的 VRP 5.x 和 8.x 版 
本 ; 发 行 版 本 则 是 在 核心 版 本 基础 上 针对 具体 的 产品 系列 (如 有 S 系 列 交 换 机 系列 、AR/NE 系 列 路 由 器 系列 
































等 ) 而 发 布 的 VRP 系 统 版 本 。 






































VRP 系 统 的 核心 版 本 是 由 一 个 小 数 来 表示 ， 小 数 点 前 面 的 数字 表示 主 版 本 号 ， 仅 当 发 生 比较 全 面 的 功 


能 或 者 体系 结构 修改 时 才 会 发 布 新 的 主 版 本 号 ; 小 数 点 后 面 第 1 位 数字 表示 次 版 本 号 ， 仅 当 发 生 重 大 或 者 较 


























多 功能 修改 时 才 会 发 布 新 的 次 版 本 号 ;后 面 1 一 2 位 数字 为 修订 版 本 号 ， 只 要 发 生 修改 就 会 发 布 新 的 修订 版 
本 号 。 如 上 面 的 VRP 5.120 中 的 主 版 本 号 为 5， 次 版 本 号 为 1，20 为 修订 版 本 号 。 




















华为 VRP 系 统 的 发 行 版 本 是 以 V、R、C 三 个 字母 《代表 三 利 








Ph 不 同 的 版 本 号 〉 进 行 标识 的 ， 基 本 格式 为 


VXXXRXXXCXX， 上 且 
































现 也 可 能 不 出 现 。V、R、C 这 三 个 字母 的 定义 如 下 。 




















(1) V 版 本 是 指 产品 所 基于 的 软件 或 者 硬件 平台 版 本 。 
VXXx 标 识 产 品 /解决 方案 主力 产品 平台 版 本 的 变化 ， 称 为 V 版 本 号 。 其 



































位 递增 编号 。 仅 当 产 品 的 平台 发 生变 化 ，V 版 本 号 才 会 发 生变 化 。 
《2) R 版 本 是 面向 客户 发 布 的 通用 特性 集合 ， 是 产品 在 特定 时 间 的 具体 体现 形 
















































































的 x 是 一 些 具 体 的 数字 。V、R 部 分 为 必须 部 分 ; C 根 据 版 本 性 质 的 不 同 而 确定 ， 可 能 出 











的 xxx 从 100 开 始 ， 并 以 100 为 单 





式 。 





NS 


Rxxx 标 识 面向 所 有 客户 发 布 的 通用 版 本 ， 称 为 R 版 本 号 。 其 中 的 xxx 从 001 开 始 以 1 为 单位 递增 编号 。 




















汪 
壮 忌 




















上 述 V 版 本 号 和 R 版 本 号 独立 编号 ， 互 不 影响 。 也 就 是 它们 之 间 并 没有 从 属 关系 。 例如 产品 平台 发 生变 
化 ， 而 功能 特性 不 变 ， 如 原 VR 版 本 号 为 V100R005， 则 新 的 VR 版 本 号 为 V20 




















和 
性 发 生变 化 ， 平 台 却 不 变 。 根 据 这 一 原则 可 以 得 出 ， 基 于 V100R005 升级 的 后 一 个 版 本 的 版 本 号 只 可 和 铺 








V100R006、V200R005、V200R006 中 的 任意 一 种 。 
(3) C 版 本 是 基于 R 版 本 开发 的 快速 满足 不 同类 型 客户 需求 的 客户 化 版 本 。 
在 同一 R 版 本 下 ，C 版 本 号 中 的 xx 从 00 开 始 以 1 为 单位 递增 编号 。 如 果 R 版 本 号 发 生变 化 ，C 版 本 号 下 的 
































xx 又 从 01 开 始 重新 编号 ， 如 V100R001C01、V100R001C02、V100R002C01。 
以 上 这 两 个 VRP 系统 版 本 均 可 通过 display version 命令 查 到 。 下 面 是 一 个 执行 display version 命 令 的 输 
出 示例 ， 其 中 的 Version5.120 就 代表 当前 交换 机 运行 的 VRP 核 心 版 本 为 5.120， 
V200R002C00” 则 是 指 S5700 系 列 交换 机 的 VRP 发 行 版 本 。 同 样 还 可 从 中 看 到 对 应 的 BootrROM 软 件 版 本 ， 如 





其 : 

















V200R002C00.CC， 如 果 要 针对 特定 子 系列 ， 则 在 前 


息 ， 如 PCB 印 上 
的 版 本 ) 等。 
































0R005。 当 然 ， 若 产品 功能 特 
已 


三 
CE 


























而 括号 里 面 的 “S5700 





的 “Basic BOOTROM Version : 100” 表 示 BootROM 软 件 版 本 号 为 100。 当 然 还 可 查看 许多 其 他 版 本 信 



































<HUAWEI>display version 

Huawei Versatile Routing Platform Software 

VRP (R) software, Version 5.120 (S5700 V200R002C00) 
Copyright (C) 2000-2012 HUAWEI TECH CO., LTD 














I 电路 板 版 本 (Pcb Version) 、 复 杂 可 编程 逻辑 交换 机 版 本 (CPLD Version， 也 即 可 编程 芯片 





HUAWEI S5700-52C-EI Routing Switch uptime is 0 week, 2 days, 1 hour 24 minutes 


EMGE 0(Master) : uptime is 0 week, 2 days, 1 hour, 23 minutes 

512M bytes DDR Memory 

64M bytes FLASH 

Pcb Version: VERB 

Basic BOOTROM Version : 100 Compiled at Mar 1 2011, 20:27:16 

CPLD Version:74 

Software Version : VRP (R) Software, Version 5.120 (S5700 V200R002C00) 
FANCARD information 

Pcb Version:FAN VERB 

PWRCARD 1 information 

Pcb Version:PWR VERA 

2. VRP 系 统 软 件 名 称 

我 们 一 般 所 说 的 系统 软件 是 指 产品 版 本 的 VRP 系统 软件 。VRP 系统 软 伯 
































的 文件 扩展 名 为 “CC”， 如 


而 还 会 加 子 系列 名 ， 如 S5700HI-V200R002C00.CC。 但 


在 华为 公司 网 站 下 载 的 文件 是 .zip 格式 的 有 





2.4.2 VRP 系 统 配 置 文件 









































VRP 系统 配置 文件 是 VRP 命令 行 的 集合 ，| 
后 这 些 配 置 能 够 继续 生效 。 另 外 ， 通 过 配置 文件 月 





















































传 到 其 他 的 交换 机 上 ， 实 现 交换 机 的 批量 配置 。 


配置 文件 为 文本 文件 ，] 





(1) 以 命令 格式 保存 。 








其 规则 如 下 。 


(2) 为 了 节省 空间 ， 只 保存 非 缺 省 的 参数 。 





(3) 以 命令 视图 为 基本 框架 ， 同 一 命令 视 














E 缩 文件 ， 要 解压 后 才能 上 传 到 交换 机 存储 器 中 使 用 。 














] 户 可 将 当前 配置 保存 到 配置 文件 中 ， 





















































以 便 在 交换 机 重启 











日 户 可 以 非常 方便 地 查阅 配置 信息 ， 也 可 以 将 配置 文件 上 























图 的 命令 组 织 在 一 起 ， 形 成 一 节 ， 节 与 节 之 间 通 常用 和 


注释 行 隔 开 《〈 以 “ 厅 开 始 的 为 注释 行 ) 。 空 行 或 注释 行 可 以 是 一 行 或 多 行 。 


(4) 文件 中 各 节 的 顺序 安排 通常 为 全 局 配置 、 接 口 
(5) 配置 文件 必须 以 “.cfg” 或 “.zip” 作 为 扩展 名 ， 而 且 必 须 存 放 在 存储 交换 机 的 根 















































配置 、 各 种 协议 配置 和 用 户 界面 配置 。 











交换 机 在 运行 过 程 中 ， 有 配置 文件 和 当前 配置 ， 它 们 的 区 别 如 表 2-11 所 示 。 


配置 文件 类 型 
































表 2-11 配置 文件 和 当前 配置 的 区 别 











说 明 


查看 方式 









































目录 下 。 





配置 文件 


交换 机 上 电 时 , 从 缺 省 存储 路 径 中 读 取 配 
置 文件 进行 交换 机 的 初始 化 操作 , 因此 该 
配置 文件 中 的 配置 称 为 初始 配置 .如 果 缺 
省 存储 路 径 中 没有 配置 文件 , 则 交换 机 用 
缺 省 参数 初始 化 配置 


更 用 display startup 命令 可 以 查看 到 
交换 机 本 次 以 及 下 次 启动 的 配置 文件 
使 用 display saved-configuration 命令 
以 查看 交换 机 下 次 启动 时 的 配置 文 
伯 信 息 





当前 配置 





与 初始 配置 相对 应 , 交换 机 运行 过 程 中 正 
在 生效 的 配置 称 为 当前 配置 , 可 以 与 配置 
文件 的 内 容 不 一 致 ， 当 然 也 可 能 是 一 致 
的 ， 如 当前 没有 做 任何 配置 修改 时 





用 户 通过 命令 行 接口 可 以 修改 交换 机 当前 配置 ， 为 了 使 当前 配置 能 够 作为 交换 机 下 次 启动 时 的 起 始 配 


置 ， 需 要 使 用 save 命令 保存 当前 配置 到 缺 省 存储 器 中 ， 形 成 配置 文件 。 





说 明 





在 升级 后 兼容 。 


























中 存在 长 度 超过 510 个 字符 的 





令 将 无 法 恢复 。 


2.4.3 VRP 系 统 补丁 文件 





补丁 是 一 种 与 交换 机 VRP 系 统 软 件 兼 容 的 软件 ， 月 
像 各 种 操作 系统 (如 Windows 系统 ) 、 应 | 
需要 对 交换 机 系统 软件 进行 一 些 适 应 性 和 排 错 性 的 修改 ， 如 改 了 





务 需求 等 
补丁 通常 以 补丁 文件 的 





能 。 当 补丁 文件 被 用 户 从 存储 器 加 载 到 内 存 补丁 


全 今 


















































更 用 display current-configuration 命 


令 查看 交换 机 的 当前 配置 信息 





于 解决 交换 机 系统 软件 少量 
软件 陆续 发 布 的 补丁 文件 一 样 。 





























如 果 使 用 不 完整 格式 进行 配置 ， 由 于 命令 保存 到 配置 文件 中 时 使 用 的 是 完整 格式 ， 
系统 可 正确 执行 的 命令 长 度 最 大 为 510 个 字符 ) 。 











昌 急 



































中 唯一 的 单元 序号 ， 用 











于 标志 、 








需 解决 的 问题 ， 
在 交换 机 的 运行 过 程 中 ， 有 时 
FE 系统 中 存在 的 缺陷 、 优 化 某 功能 以 适应 业 





配置 文件 支持 包含 30 000 条 命令 行 。 如 果 超 过 了 30 000 条 ， 在 交换 机 进行 升级 时 ， 不 能 保证 所 有 命令 


可 能 导致 配置 文件 





系统 重启 时 ， 这 类 命 





就 

















多 式 发 布 ， 一 个 补丁 文件 可 能 包含 一 个 或 多 个 补丁 ， 不 同 的 补丁 具有 不 同 的 功 
区 中 时 ， 补 丁 文件 中 的 补丁 将 被 分 配 一 个 在 此 内 存 补丁 区 
管理 和 操作 各 补丁 。 

















1. 按 补丁 的 适 |) 


























j 范 围 分 类 及 补丁 编号 分 类 


补丁 文件 分 为 产品 补丁 (适用 于 某 个 特定 的 VRC 版 本 VRP 系 统 ) 和 公共 补丁 (适用 于 所 有 使 


版 本 VRP 系 统 的 交换 机 ) ， 都 有 一 个 对 应 的 补丁 编号 。 


(1) 产品 补丁 仅 适用 于 对 特定 交换 本 
上 SPCXXX ， 其 中 的 XXX 是 代表 补丁 编 





本 编号 为 300。 


(2) 公共 补丁 是 可 适 | 
SPHXXX ， 其 中 的 XXX 表示 公共 补丁 多 





编号 为 002。 
























































2. 按 补丁 生效 对 业务 的 影响 分 类 





根据 补丁 生效 对 业务 运行 的 影响 分 成 热 补丁 和 冷 补丁 。 

(1) 热 补丁 HP (Hot Patch) : 补丁 生效 不 中 断 业 务 ， 
本 ， 避 免 升 级 风险 。 

(2) 冷 补丁 CP (Cold Patch) : 要 使 补丁 

3. 按 补丁 间 的 依赖 性 分 类 








号 的 3 位 数字 ， 如 V200R001C00SPC300: 


























相同 VR 











的 补丁 软件 ， 其 编号 是 在 特定 交换 机 的 VRC 版 本 的 最 后 面 再 加 























最 后 的 SPC300 就 代表 补 





] 于 某 个 VR 版 本 的 VRP 系 统 的 通用 补丁 ， 其 编号 是 在 VR 版 本 的 最 后 面 加 上 
前 号 的 3 位 数字 ， 如 V200R001SPH002 中 最 后 的 SPH002 就 代表 补丁 





“影响 业务 运行 ， 同 时 本 


以 降低 交换 机 升级 成 














E 效 需要 复位 单 板 或 重启 交换 机 ， 影 响 业务 的 运行 。 





根据 补丁 间 的 依赖 关系 ， 补 丁 可 分 为 增 量 型 补 本 和 非 增 量 型 补丁 。 








(1) 增 量 型 补丁 : 是 指 对 在 


























的 所 有 补丁 信息 。 用 户 可 

















(2) 非 增 量 型 补丁 : 只 允许 当前 系统 安装 
t 和 载 当前 的 补丁 文件 ， 
目前 ， 产 品 发 布 的 补丁 类 型 都 为 热 补丁 与 


个 补丁 文件 ， 则 需要 





有 
4. 补丁 状态 
每 个 补丁 都 有 


















































青 况 下 直接 安装 新 的 
j 户 安装 完 补 丁 之 后 希望 











其 前 面 的 补丁 有 依赖 性 的 补丁 。 一 个 新 的 补丁 文件 必须 
以 在 不 印 载 原 补丁 文件 的 
一 个 补丁 文件 。 如 果 / 











J 文件 。 






































重新 安装 并 运行 新 的 补丁 文件 。 

















增 量 型 补 ] 











。 在 后 续 的 描述 中 如 无 特别 说 明 都 是 指 此 类 补 








自身 的 状态 ， 只 有 在 用 户 命令 行 的 干预 下 才能 发 生 切 换 。 补 丁 状态 详细 信息 如 表 2-12 所 


表 2-12 补丁 状态 





说 明 


各 状态 之 间 的 转换 关系 





空闲 态 (Idle) 


此 时 ， 补 丁 文件 存储 在 交换 机 的 
存储 器 中 ， 但 文件 中 的 补丁 还 没 
有 被 加 载 到 内 存 补丁 区 中 


当 用 户 将 补丁 从 存储 器 中 加 载 到 内 存 补丁 
区 后 ， 补 丁 的 状态 将 被 设置 为 去 激活 





去 激活 (Deactive) 





当 补 丁 被 加 载 到 内 存 补丁 区 中 或 
激活 的 补丁 被 停止 运行 时 ， 补 丁 
就 处 于 去 激活 状态 





用 户 可 以 对 去 激活 状态 的 补丁 进行 以 下 两 
种 操作 。 

。 纯 载 此 补丁 ， 使 补丁 从 内 存 补丁 区 中 被 
删除 

。 临时 运行 此 补丁 ， 使 补丁 的 状态 变 为 激 


活 状 态 





含 前 一 个 补丁 文 




















状态 说 明 各 状态 之 间 的 转换 关系 





当 补 丁 被 存储 在 内 存 补丁 区 中 ， | 用 户 可 以 对 激活 状态 的 补丁 进行 以 下 3 种 
且 被 临时 运行 时 ， 补 丁 就 处 于 激 | 操作 。 
活 状态 。 务 载 此 补丁 ， 使 补丁 从 内 存 补丁 区 中 被 


当 单 板 被 复位 后 ， 此 单 板 上 在 复位 | 删除 。 

前 处 于 激活 状态 的 补丁 仍然 恢复 止 运行 此 补丁 ， 使 补丁 的 状态 变 为 去 
为 激活 状态 。 只 有 当 整 机 复位 后 ， | 激活 状态 

复位 前 处 于 激活 状态 的 补丁 将 会 | 。 永久 运行 此 补丁 ， 使 补丁 的 状态 变 为 运 


激活 (Active) 














处 于 去 激活 状态 行 状态 
当 补丁 被 存储 在 内 存 补丁 区 中 , 且 被 
永久 运行 时 ， 补 丁 就 处 于 运行 状态 






Sf 可 以 扼 载 处 于 运行 状态 的 ， 使 


-运行 状态 的 补丁 将 保持 运行 


运行 (Running) | 当 兰 

















2.4.4 启动 BootROM 软 件 


























华为 $ 系列 交换 机 的 VRP 软件 系统 包括 BootROM 软件 和 系统 软件 两 部 分 ， 其 中 BootROM 软 件 又 分 为 








基本 BootROM 软 件 和 扩展 BootLoad 软 件 。 交 换 机 上 电 后 ， 先 运行 基本 BootROM 软 件 ， 并 负责 引导 运行 











BootLoad 软 件 ，BootLoad 软 件 负 责 引 导 运 行 系统 软件 。 注 意 ， 不 同 版 本 的 BootROM 软件 ， 下 面 的 运行 提示 
信息 可 能 有 较 大 区 别 。 下 面 仅 以 S7700 系 列 为 例 进行 介绍 。 

















1. 基本 BootrROM 软 件 的 启动 过 程 
在 交换 机 上 电 后 ， 首 先 运行 基本 BootROM 软件 ， 交 换 机 的 硬件 开始 自 检 ， 显 示 信 息 如 下 : 
input 'm' to Select Debug Console: 

Boardname .. SRU 

L2 Cache Test Start ? (torT'is test)............. OK 

BIOS Creation Date ................... Mar 9 2010, 22:34:36 

Bootbus init. .9 OK 

DDR DRAM Init ss os Sn OK 

Start Memory Test ? (t or "T' is test):skip 









































Copying Uncompressed Data from Rom to Ram ................， Done 

Uncompressing Data from Rom to RAM ...................， Done 

Initializing Flash Module .i Done 

如 果 在 上 述 “L2 Cache Test Start? ('t is tesb” 提 示 信 息 处 按 下 T 键 〈 代 表 要 进行 测试 ) 则 进行 二 级 Cache 的 
































检测 ， 否 则 跳 过 (skip〉; 如 果 在 “Start Memory Test ? (t or T' is tesb” 提 示 信 息 处 按 下 IT 键 则 进行 内 存 的 检 


测 ， 



























































否则 跳 过 〈skip) 。 此 时 ， 如 果 需 要 检测 内 存 ， 请 在 2s 内 按 下 <Ctrl+T> 组 合 键 。 屏 幕 显示 以 下 信息 。 
Testing DDR SDRAM, please wait for a few minutes 

The detected DDR SDRAM size is: 1024MB 

Testing DDR SDRAM: 1024MB .... pass 

Took time: 23s 

当 屏 幕 显示 以 下 信息 时 ， 如 果 在 2s 内 按 下 <Ctrl+A> 组 合 键 ， 则 进入 基本 BootROM 菜 单 ， 和 否则 继续 后 面 






































的 BootLoad 软 件 启动 过 程 ， 即 执行 基本 BootROM 荣 单 中 的 第 4 项 。 

















Press Ctrl+A to enter Bootrom Menu.. 
基本 BootROM 菜 单 界 面 如 下 (# 后 面 是 加 和 注释 〉。 

Update Bootrom Menu (Ver 102) 

Creation date: Mar 6 2009, 15:59:02 

1. Update bootrom through serial interface #--- 通 过 串口 更 新 基本 BootRom 软 件 






































2. Update bootload through serial interface #--- 通 过 捉 口 更 新 扩展 BootLoad 软 件 
3. Modify serial interface parameter #--- 编 辑 串 口 参 数 
4. Boot from bootload system”#--- 从 扩展 BootLoad 软 件 启动 系统 
5. Reboot #--- 重 启 系 统 
通过 基本 BootROM 菜 单 ， 可 以 升级 基本 BootROM 软 件 〈 第 1 项 ) 、 扩 展 BootLoad 软 件 ( 第 2 项 ) 和 编辑 
口 参数 (第 3 项 )。 
2. BootLoad 软 件 的 启动 过 程 
当 没 有 在 前 面 按 下 <Ctrl+A> 组 合 键 ， 或 者 在 以 上 BootROM 菜 单 中 选择 执行 第 4 项 ， 即 启动 BootLoad 软 
件 ， 开 始 初始 化 硬件 并 显示 交换 机 的 硬件 参数 信息 。 显 示 信 息 如 下 : 


米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 
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米 米 
* Ethernet Switch Bootload, Ver 121 * 
洲 米 


米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 


Copyright(C) 2003-2011 by HUAWEI TECHNOLOGIES CO., LTD. 
Creation date: Apr 18 2012, 11:15:46 
PCB Version :LEO02SRUA VER.D 
CPU L2 Cache :128KB 
CPU Clock Speed :700MHz 
BUS Clock Speed :133MHz 
Memory Type :DDR2 SDRAM 
Memory Size :1024MB 
Memory Speed :667MHz 
CE Gard oilti sa da ta lid 入 站 人 全 二 人 Done 
Description data is vaild in Nvram area ! 
Press Ctrl+B to enter Boot Menu. . 0 
如 果 用 户 在 3s 内 按 下 <Ctrl+B> 组 合 键 ， 则 提示 用 户 输入 进入 扩展 BootROM 荣 单 的 密码 〈 缺 省 密码 是 
Admin@huawei.com) ， 屏 幕 显 示 如 下 信息 。 
password: 
此 密码 在 系统 视图 下 可 通过 reset boot password 重 置 为 缺 省 密码 AdminG@huawei.com 。 
输入 正确 的 密码 后 ， 则 进入 BootLoad 菜 单 。BootLoad 荣 单 的 界面 如 下 。 
. Boot with default mode #--- 使 用 缺 省 模式 启动 系统 
. Boot from Flash #--- 从 flash: 闪 存 启动 系统 
. Boot from CFCard #--- 从 CF 卡 启动 系统 
. Enter serial submenu #--- 进 入 串口 子 菜单 
. Enter ethernet submenu #--- 进 入 以 太 网 口子 菜单 
. Modify Flash description area #--- 修 改 闪存 描述 区 域 
. Modify bootrom password #-- 修 改进 入 基本 BootRom 荣 单 的 密码 
. Clear password for console user #-- 清 除 控制 台 用 户 密 码 ( 在 用 户 忘记 密码 时 可 用 ) 
. Reboot #--- 重 启 系统 




























































































































































































































































































GD ON DU 信人 WW NO ~ 





Enter your choice(1-9):1 


通过 BootLoad 菜单 ， 


Console 用 户 密 码 等 。 
































mai 


























件 。 屏 幕 显示 的 信息 如 下 。 


Auto-booting. . 


Booting from CFCard. . 


Uncompressing. .Donel 


至 此 ，Boo 

















2.5 管理 VRP 配 置 文件 











tROM 软 伯 


























上 
仅 指 没有 以 文人 


二 | 











有 说 了 VRP 系 统 有 “配置 文件 ”( 已 以 文件 形式 保存 的 配置 》 和 “当前 配置 ”( 
配置 文件 。 用 户 可 以 进行 保存 配置 文人 








形式 保存 的 配置 ) 两 利 























F 引 导 过 程 结束 ， 交 换 机 将 开始 加 载 系统 软件 。 



































j 户 指定 交换 机 启动 时 加 载 的 系统 软件 ， 修 改进 入 基本 BootRom 菜单 密码 ， 清 除 
缺 省 执行 第 1 项 菜单 ， 初 始 化 串口 和 Console， 解 压缩 系统 软件 ， 并 引导 运行 系统 软 


E 在 运行 、 生 效 的 配置 ， 

















F《 即 把 当前 配置 以 文件 





式 


保存 起 来 ) 、 备 份 配置 文件 (备份 已 有 的 配置 文件 ) 、 恢 复 配 置 文 件 ( 恢 复 使 用 其 他 配置 文件 ) ， 指 定 下 


























次 启动 的 启动 文件 (包括 配置 文件 ) 等 操作 。 下 面 分 别 予以 介绍 。 








2.5.1 b 








《由 

















用 户 可 以 通过 命令 行 修改 交换 机 的 当前 配置 ， 而 这 些 配置 在 设备 重启 后 将 失效 ， 如 果 要 使 当前 配置 在 








系统 下 次 重启 时 仍然 有 效 ， 在 本 
置 ? 和 “手动 保存 配置 ?两 种 方法 保存 配置 文件 。 
1.， 自动 保存 配置 文件 
自动 保存 配置 文件 分 两 种 情况 : 一 种 是 自动 保存 配置 文件 在 本 地 交换 机 存储 器 中 ， 另 一 种 
置 文件 在 远程 的 服务 器 上 。 



































(1) 本 地 
























































自动 保存 配置 文件 














全 今 


limit cpu-usage |delaydelay-interval ] * 命 令 


QD interval: 可 多 选 参数 ， 指 定 定时 保存 配置 的 时 间 间 隔 《〈 即 每 隔 这 个 时 间 自 动 保存 一 次 配置 文件 ) ， 











取 值 范围 为 〈30 一 43 200) 整数 分 钟 。 缺 省 值 是 30min。 











E 启 交换 机 前 需要 将 当前 配置 保存 到 配置 文件 中 。 可 以 采用 “自动 保存 配 












































































































































自动 保存 本 


在 本 地 自动 保存 配置 文件 的 方法 是 需要 先 在 系统 视图 下 使 用 set save-configuration [ interval interval | cpu- 
配置 系统 定时 保存 配置 文件 。 命 令 中 的 参数 说 明 如 下 。 


@) cpu-usage: 可 多 选 参数 ， 指 定 定 时 自动 保存 时 的 CPU 占 用 率 闷 值 (高 于 这 个 闵 值 即 取消 当前 进行 的 











自动 进行 配置 文件 保存 操作 ) ， 取 值 范 





防止 自动 保存 影响 系统 性 能 。 











G@) delay-interval: 
更 改 后 多 少时 间 自 动 进 








interval 参 数值 。 





























缺 省 值 是 5min。 











配置 系统 定时 





置 变 化 而 变化 。 










































































围 是 1 一 60 的 整数 值 ， 代 表 对 应 的 百分比 ， 缺 省 值 为 50%。 这 是 为 了 


可 多 选 参数 ， 指 定 配 置 变更 发 生 后 系统 自动 备份 配置 的 延 时 时 间 《〈 即 在 发 生 配置 文件 
行 配 置 文件 保存 ) ， 取 值 范围 为 〈1 一 60) 整数 分 钟 ， 但 其 取 值 必须 小 于 同时 设置 


的 

















自动 保存 功能 后 ， 会 把 配置 文件 保存 在 下 次 启动 配置 文件 中 ， 配 置 文件 内 容 可 能 会 因 本 
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如 果 没 有 配置 本 命令 ， 则 系统 也 不 启动 自动 保存 功能 。 但 是 系统 在 定时 保存 配置 之 前 会 比 





























较 配 置 文件 ， 如 果 配 置 没 有 改变 则 不 会 执行 定时 保存 ， 即 使 符合 了 本 命令 设置 的 各 参数 值 条 件 























cpu-limit cpu-usage | delay delay-interval ] 
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缺 省 情况 下 ，VRP 系 统 不 启动 定时 保存 配置 的 功能 ， 可 用 undo set save-configuration [ interval interval | 
* 命 令 取消 原来 的 自动 配置 文件 保存 设置 。 当 出 现 如 下 情况 时 ， 系 





统 会 取消 定时 保存 配置 文件 的 操作 。 
QD 当前 存在 写 配 置 文件 操作 。 
@ 接口 板 正在 进行 配置 恢复 。 
@ CPU 利用 率 较 高 。 
【示例 1】 设 置 系统 定时 保存 新 配置 的 时 间 间 隔 为 60min。 
<HUAWEI> system-view 
[HUAWEH] set save-configuration interval 60 
【示例 2】 设 置 在 系统 配置 发 生变 化 3min 后 ， 以 10h 为 保存 间隔 ， 自 动 保存 新 配置 ， 且 CPU 使 用 率 上 限 
为 60%。 
<HUAWEI> system-view 



































































































































[HUAWEI] set save-configuration interval 600 delay 3 cpu-limit 60 
(2) 远程 保存 配置 文件 
如 果 要 把 配置 文件 自动 保存 在 远程 服务 器 上 ， 则 需要 先 通过 set save-configuration backup-to-server 


server server-ip transport-type { ftp | sftp }user user-name password password [path folder ] 或 set save- 




































































configuration backup-to-server server server-ip transport-type tftp [path folder ] 系统 视图 命令 分 别 配 置 FTP、 
SFTP 或 TFTP 服 务 器 的 相关 信息 ， 包 括 自动 保存 配置 文件 的 对 应 服务 器 的 耳 地址 、 用 户 名 及 其 密码 、 配 置 文 
件 自动 保存 的 目的 路 径 ， 采 用 FTP、SFTP 或 者 TFTP 对 应 的 传输 方式 把 配置 文件 自动 保存 至 对 应 的 服务 器 上 
(需要 事先 在 对 应 的 终端 PC 上 配置 好 对 应 的 服务 器 ， 并 确保 交换 机 与 服务 器 之 间 的 路 由 可 达 ) 。 命 令 中 的 
参数 和 选项 说 明 如 下 。 
QD server-ip: 指定 定时 保存 配置 文件 的 FTP、SFTP 或 者 TFTP 服 务 器 耻 地 址 。 
@) ftp : 二 选 一 选项 ， ， FTP 作 为 文件 传输 协议 ， 把 配置 文件 自动 保存 到 指定 的 FTP 服务 器 上 。 
@) sftp : 二 选 一 选项 ， 指 定 采 用 SFTP 作 为 文件 传输 协议 ， 把 配置 文件 自动 保存 到 指定 的 SFTP 服 务 器 





















































































































































































































































上 



































Guser-name: 指定 访问 FTP 或 者 SFTP 服 务 器 的 用 户 名 (TFTP 服 务 器 访问 不 需要 配置 用 户 名 和 密码 ， 因 
为 它 是 采用 UDP 传输 层 协议 进行 通信 的 ) ， 为 1 一 64 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 

(password: 指定 访问 服务 器 的 用 户 密码 ， 明 文 密码 为 1 一 16 个 字符 ， 密 文 密码 为 32 个 字符 ， 不 支持 空 
格 ， 区 分 大 小 写 

@ folder: 可 选 参数 ， 指 定 服务 器 存储 配置 文件 的 相对 路 径 ， 为 1 一 64 个 字符 ， 不 支持 空格 ， 区 分 大 小 
写 。 如 果 不 指定 此 可 选 参 数 ， 则 自动 把 配置 文件 保存 在 当前 服务 器 所 在 目录 下 。 如 果 指 定 的 路 径 不 存在 
则 配置 文件 将 发 送 不 成 功 ， 系 统 将 向 网 管 上 报告 警 ， 并 在 交换 机 上 记录 日 志 。 

【示例 3】 把 配置 文件 自动 以 用 户 名 为 huawei， 密 码 为 huawei2012 保 存 到 卫 地 址 为 1.1.1.1 的 SFTP 服 务 器 




























































































































































































上 。 

<HUAWEI> system-view 

[HUAWEI] set save-configuration backup-to-server server 1.1.1.1 transport-type sftp user huawei password 
huawei2012 

说 明 

使 用 TFTP 传 输 方式 保存 配置 文件 时 ， 可 使 用 tftp client-source{ -a source-ip-address | -i interface-type 
interface-number } 命 令 配置 交换 机 的 Lookback 接 口 和 其 IP 地 址 作为 当 交 换 机 作为 TFTP 客 户 端 发 送 报 文 的 源 
接口 和 源 了 地 址 。 缺 省 情况 下 ，TFTP 客 户 端 发 送 报 文 的 源 地 址 为 0.0.0.0。 

2. 手动 保存 配置 文件 























































































































































































































如 果 你 没有 配置 以 上 的 自动 保存 配置 文件 ， 或 者 因为 刚 发 生 的 配置 更 改 很 重要 ， 你 想 立 即 保存 ， 则 可 
进行 手动 保存 配置 文件 。 手 动 保存 仅 会 保存 在 交换 机 本 地 存储 器 中 ， 方 法 是 执行 save [all ] [ configuration- 
file ] 配置 ， 保 存 当 前 配置 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) all : 可 选项 ， 选 择 它 后 将 保存 所 有 的 配置 ， 包 括 不 在 位 的 板 卡 的 配置 。 

(2) configuration-file: 可 选 参数 ， 指 定 所 保存 的 配置 文件 名 称 〈 包 括 路 径 ) ， 绝 对 路 径 的 长 度 ; 人 


5~64 个 字符 。 在 第 一 次 保存 配置 文件 时 ， 如 果 不 指 
“vrpcfg.zip” 是 系统 缺 省 的 配置 文件 ， 
定 文件 时 ， 文 件 必 须 以 “.zip” 或 “.cfg” 作 为 扩展 名 ， 而 且 系 统 启动 配置 文件 必须 存放 


件 





名 保存 为 
将 当前 
在 存储 交换 
对 




















*.cfg 格 式 ， 然 后 逐条 恢复 。 注 意 以 下 几 种 命令 格式 的 作 / 


(1) 执行 不 带 任何 参数 和 选项 的 save 命令 将 直 


这 样 直接 保 





(2) 执行 save all 命令 


在 位 的 板 卡 


(3) 执行 save configuration-file 命令 将 保存 当前 配置 信息 到 交换 机 中 指 
的 启动 配置 文件 ， 除 非 当 configuration-file 与 系统 缺 省 
时 ， 此 时 就 等 同 于 save 命令 。 
(4) 执行 save all configuration-file 命令 
况 下 也 不 影响 系统 当前 的 启动 本 
相同 时 ， 此 时 就 等 同 于 save all 
【示例 4】 使 用 save 命令 直接 保存 当前 配置 文件 到 


不 影响 系统 
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‘vrpcfg.zip”。 
配置 保存 到 指 
机 的 根 目 








录 下 。 
里 面 的 命令 逐条 进行 恢复 ; 



























































定 可 选 参 数 configuration-file， 则 交换 机 将 提示 是 
初始 状态 是 空 配 





忆 置 。 



































*.cfg 为 纯 文 本 格式 ， 可 直接 查看 里 面 的 内 容 ， 指 定 为 配置 文件 后 ， 启 动 时 系统 














*.cfg 的 压缩 ， 占 用 空间 较 小 ， 


*.zip 是 











存 的 。 


配置 。 








当前 


<HUAWEI>save 


The current configuration will be written to the device. 


会 保存 当 














效果 。 
接 蔡 换 当 前 
































前 所 有 的 配置 到 当前 



































启动 配置 文件 中 的 相应 内 容 。 


启动 配置 文件 ! 


指定 为 配置 文件 后 ， 启 动 时 要 先 解压 成 

















多 数 情 





况 下 是 
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直接 替换 相应 内 容 ) ， 包 括 不 




















定 的 配置 文件 中 。 通 常情 况 下 
的 存储 路 径 及 配置 文件 名 完全 相同 















































命令 。 



































Are you sure to continue?[Y/N]y 


Now saving the current configuration to the slot 0. 


Save the configuration successfully. 


2.5.2 


为 防止 交换 机 或 者 配置 文件 意外 损坏 而 导致 配置 文件 


分 配 位: 

















e 直接 屏 
e 备份 配置 文件 到 
e 通过 TFTP 备 份 配 置 文件 到 远程 TFTP 服 务 器 中 。 
e 通过 FTP 备 份 配置 文件 到 



































幕 复 制 。 















































1. 直接 屏幕 复制 























存储 器 其 他 位 置 。 

















远程 FTP 服 务 器 中 。 











直接 屏幕 复制 的 方法 是 最 原始 的 方式 ， 可 先 在 命令 行 界面 上 ， 执 行 display current-configuration 
复制 所 有 显示 信息 到 TXT 文 本 文件 中 ， 从 而 将 配置 文件 备份 











一 定 要 为 .cfg。 


2. 备份 












































配置 文件 到 flash: 或 cfcard: 存 储 器 中 


] 来 保存 当前 配置 信息 到 交换 机 中 指定 的 配置 文件 中 。 
置 文件 ， 除 非 当 configuration-file 与 系统 缺 省 的 存储 路 径 及 配置 文件 名 完全 


无 法 恢复 ， 


到 维护 终端 的 硬盘 中 。 尘 























通常 情 

















缺 省 存储 交换 机 中 。 











可 以 通过 以 下 4 种 方法 进行 配置 文件 备 











命令 并 


展 名 























FE 意 配置 文件 的 扩 

















可 以 把 配置 文件 以 非 缺 省 配置 文件 名 备份 保存 在 交换 机 当前 的 flash: 或 者 cfcard: 存 储 器 中 。 在 交换 机 
启动 之 后 ， 使 用 copy 命 令 备份 配置 文件 。 下 面 是 一 个 示例 ， 把 当前 配置 文件 config.cfg 以 配置 文件 名 
backup.cfg 备 份 到 存储 器 根 目录 下 。 

<HUAWEI>save config.cfg 

<HUAWEI> copy config.cfg backup.cfg 

如 果 不 是 保存 在 交换 机 的 缺 省 存储 器 根 目 录 下 ， 需 要 指定 绝对 路 径 。 

3. 通过 TFTP 备 份 配置 文件 

这 种 备份 方式 是 将 当前 交换 机 作为 TFTP 客户 端 ， 然 后 在 通过 网 络 相连 的 PC 机 上 配置 并 启动 TFTP 服 
务 器 程序 。 设 置 好 下 载 配置 文件 的 传输 路 径 、TFTP 服 务 器 PP 地址 、 端 口号 。 然 后 在 本 地 交换 机 用 户 视图 下 
执行 tftp [ -a source-ip-address | -i interface-type interface-number ] tftp-server put source-filename [ destination- 
filename ] 命令 备份 指定 的 配置 文件 。 命 令 中 的 参数 说 明 如 下 。 

(1) source-ip-address: 二 选 一 可 选 参数 ， 指 定 本 端 交 换 机 的 卫 地 址 ， 用 户 可 以 以 指定 的 下 地 址 与 服 
务 端 通信 ， 从 而 达到 进行 安全 校 验 的 目的 。 
(2) interface-type interface-number: 二 选 一 可 选 参数 ， 指 定 本 端 交换 机 出 接口 的 接口 类 型 和 接口 纺 











































































































































































































































































































NS 






































写 。 

(3) tftp-server: 指定 TFTP 服 务 器 的 IP 地 址 或 者 主机 名 。 

(4) source-filename: 指定 备份 的 源 配 置 文件 名 。 

《5) destination-filename: 可 选 参数 ， 指 定 备份 后 的 目标 配置 文件 名 。 如 果 不 指定 此 可 选 参数 ， 则 与 源 
配置 文件 名 一 样 。 

下 面 是 一 个 配置 文件 备份 示例 ， 把 cfcard: 存 储 器 中 的 配置 文件 以 备份 配置 文件 名 backup.cfg 保 存 到 IP 地 
址 为 10.110.24.254 的 TFTP 服 务 器 根 目录 下 。 

<HUAWEI> tftp 10.110.24.254 put cfcard:/config.cfg backup.cfg 

4. 通过 FTP 备 份 配置 文件 

通过 FTP 服 务 备份 配置 文件 的 方式 有 两 种 : 一 种 是 把 当前 交换 机 作为 FTP 服 务 器 ， 把 用 来 保存 备份 配置 
文件 的 PC 机 作为 FTP 客户 端 。 通 过 PC 机 提示 符 下 键入 的 fp 命令 向 交换 机 发 起 FTP 连 接 ， 然 后 在 PC 机 上 通过 
FTP 服 务 的 get 命 令 从 交换 机 上 备份 配置 文件 。 这 种 方法 相对 来 说 比较 简单 ， 因 为 在 交换 机 上 启用 FTP 服务 
器 功能 比较 容易 。 

另 一 种 则 相反 ， 把 当前 交换 机 作为 FTP 客户 端 ， 而 把 用 来 保存 备份 配置 文件 的 PC 机 作为 FTP 服 务 器 。 
通过 交换 机 命令 行 中 键入 的 fp 命令 向 PC 机 发 起 FTP 连 接 ， 然 后 在 交换 机 上 通过 FTP 服 务 的 put 命 令 把 交换 机 
上 的 配置 文件 备份 到 PC 机 上 。 这 种 方法 需要 先 在 PC 机 上 安装 并 配置 好 FTP 服 务 器 ， 相 对 来 说 比较 麻烦 。 

下 面 仅 介绍 第 一 种 方法 ， 需 要 经 过 以 下 几 个 步骤 《详细 配 置 任务 可 参见 本 书 第 3 章 3.7.2 节 ) : 

(1) 在 当前 交换 机 上 启动 FTP 服 务 器 功能 ， 并 创建 用 户 名 假设 为 huawei) 和 密码 假设 为 
huawei@123)〉 的 FTP 用 户 ， 授 权 此 用 户 可 访问 配置 文件 保存 的 存储 器 (可 以 是 flash: 或 cfcard:) 。 下 面 是 访 
问 cfcard: 存 储 器 的 配置 示例 。 

<HUAWEI>system-view 

[HUAWEI] ftp server enable #--- 启 用 FTP 服 务 器 功能 

Info: Succeeded in starting the FTP server. 

[HUAWEI] aaa #--- 启 用 AAA 认 证 ， 进 入 AAA 视 图 

[HUAWEI-aaa] local-userhuaweipassword cipher huawei@123 ”#--- 配 置 本 地 用 户 huawei， 加 密 密 码 为 
huawei@123 



































































































































































































































































































































































































































































































































[HUAWEI-aaa] local-userhuawei ftp-directory cfcard: ”#--- 配 置 用 户 huawei 可 访问 的 目录 为 cfcard: 存 储 器 
[HUAWEI-aaa] local-userhuawei service-type ftp ”#--- 配 置 用 户 huawei 可 以 使 用 FTP 服 务 
[HUAWEI-aaa] local-user huawei privilege level 15 #-- 配 置 用 户 huawei 的 用 户 级 别 为 最 高 的 15 级 
(2) 在 PC 上 向 交换 机 发 起 FTP 连 接 (假设 交换 机 的 管理 IP 地 址 是 10.110.24.254) ， 以 建立 与 交换 机 的 
FTP 连 接 。 
C:\Documents and Setting\Administrator> ftp 10.110.24.254 
Connected to 10.110.24.254. 
220 FTP service ready. 
User (10.110.24.254:(none)):huawei 


331 Password required for huawei. 








































































































Password: 
230 User logged in. 
(3) 设置 传输 参数 。FTP 用 户 验证 通过 后 ， 在 FTP 客 户 端 会 显示 “ftp>” 提 示 符 ， 键 入 binary 二进制 传 
输 模式 ) ， 并 设置 FTP 客 户 端 存放 上 载 文 件 的 目录 路 径 〈 假 设 为 C:\temp)。 
ftp>binary 
200 Type set to Il. 
ftp> lcd c:\temp 



































Local directory now C:\temp. 
(4) 传输 配置 文件 。 在 FTP 客 户 端 PC 上 ， 使 用 get 命 令 将 配置 文件 下 载 至 本 地 指定 目录 中 ， 并 保存 为 
backup.cfg。 如 果 文 件 大 小 一 致 则 认为 备份 成 功 。 
ftp>get cfcard:/config.cfg backup.cfg 

































































如 果 用 户 进行 了 错误 的 配置 ， 或 者 原来 的 配置 文件 已 损坏 ， 将 导致 交换 机 某 些 功能 异常 ， 此 时 可 以 通 
过 以 下 3 种 方法 进行 配置 文件 恢复 。 
(1) 从 存储 器 上 备份 的 配置 文件 中 恢复 配置 文件 。 
(2) 通过 TFTP 恢 复 备 份 在 PC 上 的 配置 文件 。 
(3) 通过 FTP 恢 复 备 份 在 PC 上 的 配置 文件 。 
在 恢复 配置 文件 后 ， 为 了 让 配置 文件 生效 需要 重新 启动 交换 机 。 先 使 用 startup saved-configuration 
configuration-file 命 令 指 定 重新 启动 使 用 的 配置 文件 (如 果 配 置 文件 命名 没有 变 ， 则 该 步骤 省 略 ) ， 然 后 使 
jreboot 命 令 重 新 启动 交换 机 。 
1. 从 存储 器 恢复 配置 文件 
这 种 恢复 方法 主要 便于 用 户 将 存储 在 交换 机 存储 器 《〈 可 以 是 flash: 或 cfcard: ) 中 的 备份 配置 文件 恢复 成 
当前 系统 运行 的 配置 文件 。 在 交换 机 正常 工作 时 ， 可 使 用 如 下 命令 恢复 配置 文件 (假设 原来 的 备份 配置 文 
件 名 是 保存 在 cfcard: 存 储 器 根 目录 下 的 backup.cfg)。 
<HUAWEI> copy cfcard:/backup.cfg cfcard:/config.cfg 
然后 通过 startup saved-configuration configuration-file 命 令 指 定 复制 的 配置 文件 为 下 次 启动 时 所 用 的 配置 
文件 。 该 命令 具体 将 在 本 章 2.6.1 节 介绍 ， 在 此 不 再 更 述 。 
2. 通过 TFTP 恢 复 备份 在 PC 上 的 配置 文件 
这 种 恢复 方法 是 将 当前 交换 机 作为 TFTP 客 户 端 。 恢 复 的 方法 与 上 节 介 绍 的 “通过 TFTP 备 份 配置 文件 ”中 
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的 备份 步骤 相同 ， 差 别 仅 在 于 在 命令 行 界 面 中 执行 携带 get 参 数 的 ttp 命 令 ， 将 存储 在 PC 上 的 配置 文件 
backup.cfg 下 载 到 交换 机 的 cfcard 中 。 
3. 通过 FTP 恢 复 备 份 在 PC 上 的 配置 文件 
这 里 同样 可 以 有 两 种 方法 ， 参 见 上 节 “ 通 过 FTP 备 份 配 置 文件 ”中 的 介绍 。 当 把 当前 交换 机 作为 FTP 服 务 
器 时 恢复 备份 配置 文件 的 步骤 与 上 节 “ 通 过 FTP 备 份 配置 文件 ”中 的 步骤 相同 ， 差 别 仅 在 于 在 最 后 传输 配置 文 
牛 时 需 在 命令 行 界面 中 执行 put 命 令 ， 将 存储 在 PC 上 的 配置 文件 backup.cfg 上 传 到 交换 机 的 cfcard 中 。 



















































































































































































设备 使 用 的 时 间 一 长 ， 里 面 存放 的 配置 文件 可 能 就 比较 多 ， 容 易 造 成 混乱 (通常 可 通过 为 配置 文件 起 
一 个 有 隐 含 意义 的 文件 名 来 进行 区 分 )。 这 时 就 可 以 把 某 个 配置 文件 与 当前 配置 进行 比较 ， 通 过 配置 结果 
中 显示 的 配置 不 同 处 比较 出 各 个 配置 文件 的 版 本 新 、 旧 ， 从 而 决定 可 以 删除 某 些 不 再 使 用 的 配置 文件 ， 也 
可 以 决定 是 否 需 要 将 当前 配置 设置 为 下 次 启动 时 加 载 的 配置 文件 。 

通过 配置 文件 的 比较 ，VRP 系 统 在 比较 出 不 同 之 处 时 将 从 两 者 有 差异 的 地 方 开始 显示 字符 ， 【人 缺 省 显 
示 150 个 字符 ) ， 如 果 该 不 同 之 处 到 文件 末尾 不 足 150 个 字符 ， 将 显示 到 文件 尾 为 止 。 所 比较 的 配置 文件 必 
须 以 “.cfg” 或 “.zip” 作 为 扩展 名 。 如 果 指 定 要 与 当前 配置 进行 比较 的 配置 文件 不 存在 ， 或 者 虽然 配置 文件 存 
在 ， 但 是 内 容 为 空 ， 系 统 将 提示 读 文 件 失败 。 

在 系统 视图 下 执行 compare configuration [ configuration-file ] [ current-line-number save-line-number ] 命 
令 ， 可 以 比较 当前 配置 与 指定 的 配置 文件 或 者 指定 的 配置 文件 的 内 容 是 否 一 致 。 命 令 中 的 参数 说 明 如 下 。 

(1) configuration-file: 可 选 参数 ， 指 定 需 要 与 当前 配置 进行 比较 的 配置 文件 名 ， 长 度 范 围 为 5 一 48 个 
字符 ， 不 支持 空格 。 如 果 不 指 定 此 可 选 参 数 ， 系 统 将 比较 当前 的 配置 与 下 次 启动 配置 文件 内 容 是 否 一 致 。 

(2) current-line-number save-line-number: 可 选 参数 ， 指 定 在 当前 配置 中 从 指定 的 行 开始 比较 ， 在 指定 
配置 文件 中 从 指定 的 行 开 始 比较 。 如 果 不 指定 此 可 选 参数 ， 则 表示 从 指定 的 配置 文件 的 首 行 开始 进行 比 
较 。 用 来 指定 在 发 现 配 置 文件 不 同 之 处 后 ， 跳 过 该 不 同 处 各 自从 指定 的 行 继续 进行 比较 。 

【示例 】 比 较 当 前 配置 与 下 次 启动 的 配置 文件 内 容 是 否 一 致 。 从 输出 信息 可 以 看 出 ， 这 两 个 配置 文件 
中 均 从 第 6 行 开 始 不 一 致 ， 并 且 分 别 列 出 了 两 个 配置 文件 中 的 对 应 配置 。 


<HUAWEI> compare configuration 












































































































































































































































































































































































































































Warning: The current configuration is not the same as the next startup configura 


tion file. 


vlan batch 1 to 2 10 to 11 15 70 to 71 91 to 92 100 111 230 240 901 
vlan batch 911 1111 

# 

l2protocol-tunnel vtp group-mac 0100-0ccd-ffff 


vlan batch 1 to 2 10 to 11 15 70 91 to 92 100 111 230 240 901 
vlan batch 911 1111 

# 

l2protocol-tunnel vtp group-mac 0100-0ccd-ffff 








2.5.5 清除 配 











在 以 下 情况 下 需要 清除 〈 删 除 ) 配置 文件 。 

(1) 交换 机 软件 升级 之 后 ， 原 配置 文件 与 当前 软件 不 匹配 。 

(2) 配置 文件 遭 到 破坏 ， 或 加 载 了 错误 的 配置 文件 。 

可 在 系统 视图 下 执行 reset saved-configuration 命 令 ， 清 除 当 前 加 载 的 配置 文件 。 系 统 在 清除 交换 机 配置 
文件 前 会 比较 当前 启动 与 下 次 启动 的 配置 文件 。 

(1) 如 果 一 致 ， 执 行 该 命令 将 同时 清除 这 两 个 配置 文件 。 此 时 可 以 在 交换 机 上 设 定 下 次 启动 文件 ， 否 
则 下 次 启动 时 配置 文件 为 空 。 

(2) 如 果 不 一 致 ， 执 行 该 命令 将 清除 当前 启动 的 配置 文件 。 

(3) 如 果 交 换 机 当前 启动 的 配置 文件 为 空 ， 执 行 该 命令 后 ， 系 统 将 提示 配置 文件 不 存在 。 

执行 该 命令 后 ， 如 果 不 使 用 startup saved-configuration configuration-file 命 令 重 新 指定 含有 正确 配置 信息 
的 配置 文件 ， 或 者 不 使 用 Save 命令 保存 配置 文件 ， 则 交换 机 下 次 启动 时 将 采用 缺 省 的 配置 参数 进行 初始 化 。 
如 果 是 S5700、S6700、S7700、S9300 和 S9700 系 列 交 换 机 ， 则 还 可 一 键 式 清除 指定 接口 下 配置 信息 或 将 
其 配置 恢复 到 缺 省 值 。 只 需 在 系统 视图 下 执行 clear configuration interface interface-type interface-number 命 
令 ， 即 可 清除 指定 接口 下 配置 信息 或 将 其 配置 恢复 到 缺 省 值 ; 也 可 在 对 应 接口 视图 下 执行 clear 
configuration this 命 令 清除 该 接口 〈 但 不 支持 Tunnel 和 css-port 类 型 接口 ) 下 配置 信息 或 将 其 配置 恢复 到 缺 省 
值 。 被 清除 配置 文件 的 接口 将 被 置 为 shutdown 状 态 。 








































































































































































































































































































































































































































































































2.6 交换 机 局 动 管理 














交换 机 启动 管理 包括 指定 系统 启动 文件 和 重启 操作 。 配 置 系统 启动 文件 包括 指定 系统 启动 时 所 用 的 系 
统 软件 和 配置 文件 ， 这 样 可 以 保证 交换 机 在 下 一 次 启动 时 以 指定 的 系 统 软 件 启动 和 指定 的 配置 文件 初始 化 
配置 。 如 果 系 统 启动 时 还 需要 加 载 新 的 补丁 ， 则 还 需 指 定 补 丁 文件 。 但 所 指定 的 启动 文件 必须 已 保存 至 交 
换 机 的 根 目 录 中 。 






























































2.6.1 配置 系统 启动 文件 


























系统 启动 文件 也 是 在 用 户 视图 下 配置 的 。 在 进行 系统 启动 文件 配置 前 ， 可 使 用 display startup 命令 查看 
当前 交换 机 指定 的 下 次 启动 时 加 载 的 文件 。 如 果 没 有 重新 配置 交换 机 下 次 启动 时 加 载 的 系统 软件 ， 则 下 次 
启动 时 将 缺 省 使 用 本 次 加 载 的 系统 软件 。 当 需要 更 改 下 次 启动 的 系统 文件 《如 交换 机 升级 ) 时 ， 则 需要 重 
新 指定 下 次 启动 时 加 载 的 系统 软件 ， 此 时 还 需要 提前 将 系统 软件 通过 文件 传输 方式 保存 至 交换 机 上 《系统 
软件 必须 存放 在 存储 器 的 根 目 录 下 ， 且 文件 扩展 名 必须 为 “.cc”) ; 如 果 交 换 机 是 双 主 控 环 境 ， 需 要 确保 系 
统 软件 分 别 保存 至 主 用 主 控 板 和 备用 主 控 板 存储 器 上 。 

如 果 没 有 重新 配置 下 次 启动 时 加 载 的 配置 文件 ， 则 下 次 局 动 采 用 缺 省 配置 文件 〈 如 vrpcfg.zip) 。 如 果 
缺 省 存储 器 中 没有 配置 文件 ， 则 交换 机 启动 时 将 使 用 缺 省 参数 〈 即 出 厂 配 置 ) 初始 化 。 配 置 文件 的 文件 名 
必须 是 “.cfg” 或 “.zip”， 也 必须 存放 在 存储 器 的 根 目录 下 。 

补丁 文件 的 扩展 名 为 “.pat*， 在 指定 下 次 启动 时 加 载 的 补丁 文件 前 也 需要 提前 将 补丁 文件 保存 至 交换 机 
存储 器 的 根 目录 下 。 如 果 交 换 机 是 双 主 控 环 境 ， 需 要 确保 补丁 文件 分 别 保存 至 主 用 主 控 板 和 备用 主 控 板 。 
配置 系统 启动 文件 所 用 的 命令 如 表 2-13 所 示 。 
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表 2-13 配置 系统 启动 文件 的 命令 









指定 交换 机 下 次 启动 时 所 加 载 的 系统 软件 。 参 数 system-file (系统 

软件 文件 名 ) 格式 为 [ drive-name ] [path ] [file-name ]， 长 度 范围 为 

startup system-software system- | 4 一 64 个 字符 , 不 支持 空格 ,不 区 分 大 小 写 。 如 果 未 指定 drive-name 

file (存储 器 名 )， 则 此 值 为 缺 省 的 存储 器 名 

例 如 : <HUAWEI> startup | 如 果 交 换 机 是 双 主 控 环 境 ， 还 必须 执行 命令 startup system- 

system- software basicsoft.ce software system-file slave-board, 配置 备用 主 控 板 下 次 启动 时 加 载 

的 系统 软件 。 主 用 主 控 板 和 备用 主 控 板 需要 指定 相同 版 本 的 系统 

软件 

st 指定 交换 机 下 次 启动 时 所 使 用 的 配置 文件 。 交换 机 上 电 时 , 缺 省 从 存 
储 器 根 日 录 中 读 取 配置 文件 进行 初始 化 。 参 数 _configuration-file( 配 

em e gw | 和 文 件 名 的 长 度 范围 为 5~64 个 字符 ， 不 支持 空格 ， 不 区 分 大 

小 写 

eb 有 可 用 undo startup saved-configuration 命令 取消 配置 的 交换 机 下 一 

次 启动 的 配置 文件 〈 但 需要 在 系统 视图 下 执行 此 命令 ) 

(可 选 ) 可 指定 交换 机 下 次 启动 时 加 载 的 补丁 文件 ， 但 S2700 和 

S3700 系列 交换 机 不 支持 本 命令 。 命 令 中 的 参数 和 选项 说 明 如 下 : 

startup (1)file-name: 指定 下 次 启动 的 补丁 文件 名 , 格式 为 [ drive-name ] 

patch file-name [ slave-board ] [path ] [file-name ]， 长 度 范围 为 5 一 48 个 字符 ， 不 区 分 大 小 写 ， 

例如 : <HUAWEI>startup patch | 不 支持 空格 。 如 果 未 指定 drive-name〈 存 储 器 名 )， 则 此 值 为 缺 

patch.pat 省 的 存储 器 名 

(2) slave-board: 可 选项 ， 仅 S7700、S9700 系列 交换 机 支持 ， 指 

定 备用 主 控 板 下 次 启动 时 使 用 的 补丁 文件 。 

display startup 可 选 》 命 邻 查 在 系统 未 次 和 下 次 启动 相关 的 系统 软件 、 配 置 文件 

例 如 : <HUAWEL> display (F ] 选 ) 合 六 站 系统 本 次 和 下 次 启动 相关 的 系统 软件 、 配 置 文件 

SD 以 及 补丁 文件 
















































说 明 
(可 选 ) 查看 交换 机 本 次 或 下 次 启动 时 所 用 的 配置 文件 。 命 令 中 的 
选项 说 明 如 下 。 
(1) last; 多 选 一 可 选项 ， 显 示 上 次 保存 的 系统 配置 信息 ， 即 本 次 
display ”saved-configuration | 启动 时 使 用 的 配置 文件 





[ last | time | configuration ] (2) time: 多 选 一 可 选项 ， 显 示 最 近 的 一 次 手工 或 者 系统 自动 保存 
例 如 : <HUAWEI> display | 配置 的 时 间 。S2700、S3700 系列 交换 机 不 支持 

saved- configuration (3) configuration: 多 选 一 可 选项 ， 显 示 设 置 的 自动 保存 配置 功能 
的 参数 信息 ， 包 括 定时 保存 时 间 间 隔 、CPU 利用 率 等 信息 。S2700、 
S3700 系列 交换 机 不 支持 

如 果 不 带 任何 可 选项 , 则 直接 查看 交换 机 下 次 启动 时 所 用 的 配置 文件 








【示例 1】 配 置 下 次 启动 使 用 的 系统 软件 为 basicsoft.cc。 
<HUAWEI> startup System-softwarebasicsoft.cc 

【示例 2】 配 置 下 次 局 动 使 用 的 配置 文件 为 vrpcfg.cfg。 
<HUAWEI> startup saved-configuration vrpcfg.cfg 








Info: Succeeded in setting the configuration for booting system. 
【示例 3】 在 系统 视图 下 取消 下 次 启动 时 指定 的 配置 文件 。 
<HUAWEI>system-view 
[HUAWEI] undo startup saved-configuration 
【示例 4】 指 定 下 次 启动 的 补丁 文件 为 patch.pat。 
<HUAWEI> startup patch patch.pat. .i 




















Info: Succeeded in setting main board resource file for system. 

【示例 5】 显示 本 次 及 下 次 启动 相关 的 文件 名 。 输 出 信息 字段 说 明 如 表 2-14 所 示 。 
<HUAWEI> display startup 
MainBoard: 


Configured startup System software: flash:/basicsoftware.cc 











Startup System software: flash:/basicsoftware.cc 


( 续 表 ) 


Startup paf file: NULL 

Next startup paf file: NULL 
Startup license file: NULL 
Next startup license file: NULL 
Startup patch package: NULL 





Next startup patch package: NULL 


Next startup system software: flash:/basicsoftware.cc 
Startup saved-configuration file: flash:/vrpcfg.zip 


Next startup saved-configuration file: < flash:/vrpcfg.zip 


表 2-14 display startup 命 令 输出 信息 字段 说 明 


项 目 





描述 





Configured startup System software 


指定 的 系统 软件 文件 





Startup system software 


本 次 启动 所 使 用 的 系统 软件 文件 





Next startup System software 


下 一 次 系统 启动 所 使 用 的 系统 软件 文件 





Startup saved-configuration file 


本 次 启动 时 使 用 的 配置 文件 





Next startup saved-configuration file 


下 一 次 启动 时 使 用 的 配置 文件 





Startup paf file 


本 次 启动 所 使 用 的 PAF 文件 。“NULL” 表 示 交 换 机 无 PAF 文件 





Next startup paf file 





下 一 次 启动 所 使 用 的 PAF 文件 .。“NULL” 表 示 交 换 机 无 PAF 
文件 





Startup license file 


本 次 启动 所 使 用 的 License 文件 “NULL ”表示 交 换 机 无 License 
文件 





Next startup license file 


下 一 次 启动 所 使 用 的 License 文件 “NULL ”表示 交 换 机 无 
License 文件 





Startup patch package 


本 次 启动 所 使 用 的 补丁 文件 “NULL” 表示 没有 指定 补丁 文件 





Next startup patch package 








下 一 次 启动 所 使 用 的 补丁 文件 。“NULL ”表示 没有 指定 下 次 启 
动 时 加 载 的 补丁 文件 


【示例 6】 和 查看 下 次 启动 时 所 加 载 的 配置 文件 的 内 容 。 











<HUAWEI>display saved-configuration 
# 

sysname HUAWEI 

# 

vlan batch 1 to 10 

# 


cluster enable 











【示例 7】 和 查看 本 次 启动 时 所 加 载 的 配置 文件 的 内 容 。 











<HUAWEI>display saved-configuration last 


# 
sysname HUAWEI 
# 


cluster enable 





( 续 表 ) 

















为 了 使 指定 的 系统 软件 及 相关 文件 生效 ， 需 要 在 配置 完 系 统 局 动 文件 后 ， 对 交换 机 进行 重新 启动 。 重 
新 启动 交换 机 有 以 下 两 种 方式 。 
(1) 立即 重新 启动 交换 机 : 执行 命令 行 后 立即 
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过 设备 电源 开关 重启 ， 但 是 一 般 不 建议 这 














么 做 。 




















(2) 定时 重新 启动 交换 机 : 可 以 设置 在 未 来 的 某 一 时 刻 重新 启动 交换 机 。 配 置 完 下 次 系统 启动 文件 
后 ， 为 了 不 影响 当前 交换 机 的 运行 ， 可 以 将 交换 机 设置 在 业务 量 少 的 时 间 点 定时 重新 启动 。 

交换 机 每 一 次 重新 启动 或 某 一 单 板 复位 的 相关 信息 都 会 被 详细 记录 下 来 ， 包 括 重 新 启动 的 次 数 、 详 细 
信息 以 及 原因 等 ， 可 以 通过 display reset-reason 命 令 进 行 查看 。 在 重新 启动 交换 机 之 前 ， 如 果 需 要 将 当前 配 
置 在 重新 启动 交换 机 后 仍 生 效 ， 请 先 确保 当前 配置 已 保存 。 保 存 配置 文件 的 方法 参见 2.5.1 节 。 

1. 立即 重新 启动 交换 机 

要 立即 重启 交换 机 ， 只 需 在 用 户 视图 下 执行 reboot [ fast | savediagnostic- information ] 命令 。 命 令 中 的 两 
个 选项 说 明 如 下 。 

(1) fast : 二 选 一 可 选项 ， 表 示 快 速 重启 交换 机 ， 不 会 提示 是 否 保存 配置 文件 ， 未 保存 的 配置 信息 将 








































































































HI 由 




















































































































《2) save diagnostic-information : 二 选 一 可 选项 ， 表 示 系 统 在 重新 启动 前 会 将 诊断 信息 保存 到 交换 机 
存储 器 的 根 目录 下 。 本 可 选项 部 分 机 型 不 支持 ， 有 具体 可 以 参考 对 应 的 产品 手册 。 
如 果 执 行 不 带 任何 可 选项 的 reboot 命 令 ， 则 系统 重启 前 将 提示 用 户 是 否 保存 配置 。 
【示例 1】 以 不 带 任何 选项 的 reboot 命令 重新 启动 交换 机 。 重 局 前 如 果 有 未 保存 的 配置 ， 系 统 会 提示 
是 否 保存 。 
<HUAWEI>reboot 













































































Warning: The configuration has been modified, and it will be saved to the next s 
tartup saved-configuration file cfcard:/204.cfg. Continue? [Y/N]:y 
Info: If want to reboot with saving diagnostic information, input 'N' and then e 
xecute Teboot save diagnostic-information.'. 
System will reboot! Continue?[Y/N]:y 
【示例 2】 快 速 重新 启动 交换 机 ， 不 提示 是 否 保 存 配 置 ， 直 接 台 
<HUAWEI> reboot fast 
2. 定时 重新 启动 交换 机 
如 果 要 设置 定时 重启 ， 可 在 用 户 视图 下 使 用 schedule reboot { at time |delay interval [ force ] } 命令 使 能 定 
时 重新 启动 功能 ， 并 设置 重启 时 间 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
(1) time: 二 选 一 参数 ， 设 置 交 换 机 定时 重新 启动 的 具体 时 间 。 格 式 为 hh:mm YYYY/MM/DD， 表 示 
年 月 日 ， 必 须 大 于 交换 机 的 当前 时 间 ， 且 与 当前 时 间 的 差 值 范围 小 于 720 小 时 《〈 即 30 天 ) 。 
(2) interval: 二 选 一 参数 ， 设 置 交换 机 在 定时 重新 启动 前 等 待 的 时 间 。 格 式 为 hhhmm 或 mmm， 其 中 
hhh 表 示 小 时 ， 取 值 范围 是 0 一 720，mm 表 示 分 钟 ， 取 值 范围 是 0 一 59，mmm 表 示 分 钟 ， 取 值 范 
43200 
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ery 
















































































(3) force: 可 选项 ， 指 定 定时 强制 重启 交换 机 。 如 果 不 指定 本 可 选项 ， 系 统 首 先 会 将 当前 配置 与 配置 

































































文件 进行 比较 ， 如 果 不 一 致 ， 则 会 提示 是 否 保存 当前 配置 ， 用 户 进行 选择 后 系统 又 将 提示 用 户 确 认 设置 的 

定时 重启 时 间 ， 按 下 “Y” 或 者 “y” 键 后 ， 设 置 生效 。 如 果 指 定 了 本 可 选项 ， 则 系统 不 会 出 现任 何 提 示 ， 设 置 

生效 后 ， 当 前 配置 不 会 被 比较 及 保存 ， 直 接 重 局 。 
【示例 3】 设 置 交 换 机 在 当天 晚上 22: 00 重 新 启动 。 
<HUAWEI> schedule reboot at 22:00 


Info: The System is now comparing the configuration, Please waiit. 




















































































































心 





Warning: All the configuration will be saved to the configuration file for the n 

ext startup:cfcard:/vrpcfg.zip, Continue?[Y/N]:y 

Info: Reboot system at 22:00:00 2010/11/14(in 2 hours and 2 minutes) 

confirm? [Y/N]:y 

如 果 配 置 了 定时 重启 功能 ， 可 以 执行 display schedule reboot 命 令 查看 交换 机 定时 重启 的 相关 配置 。 如 下 
所 示 为 查看 当前 交换 机 上 定时 重新 启动 的 配置 信息 为 2013 年 4 月 30 日 的 0 点 重启 。 

<HUAWEI>display schedule reboot 

Info:System will reboot at 00:00:00 2013/04/30 (in 23 hours and 53 minutes). 




































































第 3 童 


VRP 系 统 登 录 及 远程 文件 管理 


























3.1 VRP 系 统 首次 登录 


3.2 交换 机 基本 配置 的 配置 





















































3.3 


j 户 界面 
3.4 Console 用 户 界 面 配 置 与 管理 
3.5 YTY 用 户 界面 配置 与 管理 







































































3.6 


j 户 登录 配置 与 





























3.7 远程 文件 管理 





通过 上 一 
步 介 绍 华 











华为 VRP 
型 ， 而 且 可 以 








登录 需求 。 还 可 以 通过 各 种 文件 传输 协议 (如 FTP、SFTP、SCP、FTPS) 进行 远程 文件 管 


VRP 系 统 软 件 
本 章 主要 
里 配置 方法 。 
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章 的 学 习 ， 我 人 
为 VRP 系 统 。 
是 一 个 多 用 








] 已 对 华为 VRP 系 统 的 一 些 基 础 知识 和 使 用 方法 有 了 比较 全 重 





























[的 了 解 ， 本 章 将 





户 网 络 操作 系统 ， 不 仅 可 以 创建 多 个 用 户 ， 通 过 “用 户 界面 "区 分 不 同 的 























通过 用 户 级 别 为 








体 | 




















、 配 置 文件 等 的 上 传 与 下 载 。 




















介绍 VRP 系 统 的 各 种 用 户 界面 、 各 种 登录 方法 以 及 通过 各 种 文件 传输 协议 进行 的 远程 文件 管 





3.1VRP 系 统 首次 登录 








因为 华为 
同 ， 所 以 没有 
些 VRP 系 统 登 





VRP 系 统 的 首次 登录 必须 采用 本 地 登录 方式 ， 
等 必需 配置 。 华 为 $ 系 列 交 换 机 可 以 通过 Console 口 























交换 机 在 出 广 时 
也 不 可 能 








j 户 配置 不 同 的 服务 和 





民 据 不 同 用 户 的 需求 进行 特色 配置 。 











权限 ， 就 像 我 们 非常 熟悉 的 Windows 系 统 ! 
户 一 样 。 另 外 ， 华 为 公司 又 为 用 户 访问 交换 机 VRP 系 统 提供 了 多 种 不 同 的 登录 方法 ， 包 括 通过 Console 口 本 














j 户 类 


的 用 












































地 登录 和 通过 Telnet、STelnet、HTTP 和 HTTPS 协 议 的 远程 登录 ， 以 满足 于 各 种 网 络 环境 下 











j 户 的 VRP 系 统 















































这 就 需要 用 

















录 方 法 和 基本 系统 配置 。 这 里 首先 涉及 的 就 是 VRP 系 统 的 



















































































里 ， 包 括 交 换 机 
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只 配置 了 一 些 基 本 的 缺 省 配置 ， 各 用 户 的 实际 网 络 环境 和 网 络 配置 也 不 尽 相 
户 在 购买 新 的 交换 机 后 首先 了 解 一 
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大 





为 此 时 交换 机 还 没 配备 用 于 远程 登录 的 用 








、IP 地 址 






















































































































































































或 MiniUSB 口 〈 仅 部 分 产品 支持 ， 如 S5700LI、S5700S- 
































LI、S5710EI 系 列 ) 进行 首次 登录 ， 实 现 对 新 交换 机 的 基本 配置 。 
3.1.1 通过 Console 口 登录 

华为 $ 系 列 交 换 机 都 会 提供 一 个 Console 口 〈 基 本 上 均 为 RJ-45 接 口 类 型 ， 在 接口 下 面 会 有 一 个 
CONSOLE 字 样 ) ， 用 户 终 端 〈 如 PC 机 ) 的 串 行 端口 〈 俗 称 COM 口 ) 可 以 通过 随机 提供 的 专门 Console 电 
缆 与 交换 机 的 Console 口 直接 连接 。 当 然 ， 事 先 要 求 在 用 于 本 地 登录 交换 机 VRP 系 统 的 PC 机 上 安装 好 终端 
仿真 软件 ， 如 Windows 系 统 自 带 的 超级 终端 软件 ， 还 有 许多 第 三 方 终端 仿真 软件 ， 如 SecureCRT、Putty 等 。 
如 果 你 当前 使 用 的 是 Linux 操 作 系 统 ， 则 可 使 用 各 发 行 版 本 Linux 系 统 中 的 minicom 或 者 gtkterm 程 序 作 为 超级 
终端 软件 。 

下 面 仅 以 Windows XP 系统 自 带 的 超级 终端 作为 终端 仿真 软件 来 介绍 通过 Console 口 本 地 登录 华为 S$ 系列 
交换 机 VRP 系 统 的 具体 操作 步骤 。 

(1) 使 用 产品 随机 附带 的 Console 通 信 电 缆 的 DB9 〈 孔 ) 插头 插入 PC 机 的 9 芯 〈 针 ) 串口 ， 再 将 电缆 的 


























另 一 端 RJ-45 搬 头 端 插 入 交换 机 的 RJ45 Console 口 中 ， 如 图 3-1 所 示 。 


























图 3-1 通过 Console 电 缆 连 接 终 端 PC 的 COM 口 与 交换 机 的 Console 


口 





(2) 先后 开启 PC 机 和 交换 机 电源 ， 在 PC 机 的 Windows XP 操作 系统 进入 后 按 “ 开 始 > 所 有 程序 > 附件 > 




















通信 > 超级 终端 "顺序 打开 超级 终端 软件 ， 打 开 如 图 3-2 所 示 的 “连接 描述 


连接 。 

















术 ” 对 话 框 ， 在 这 里 可 以 新 建 一 个 通信 


(3) 在 “名 称 ” 文 本 框 中 输入 新 的 连 接 名 称 〔 假 设 起 名 为 COMM1) ， 然 后 单 击 “ 确 定 ” 按 钮 ， 打 开 如 图 





3-3 所 示 的 “连接 到 ”对 话 框 。 
说 明 









































口 。 然 后 在 笔记 本 电脑 中 安装 随 USB-Serial 


























回 。 





由 于 目前 大 部 分 笔记 本 电脑 没有 COM 口 ， 只 能 使 用 USB 接口 连接 。 
缆 ， 其 中 的 COM 母 头 直 接连 接 随 设 备 配 带 的 Console 电 缆 COM 公 头 ，USB 





























这 时 需 要 购买 一 条 USB-Serial 电 





























1 缆 自 带 的 驱动 程序 (也 可 在 网 


己见 











程序 ) 。 这 样 就 需要 在 图 3-3 所 示 的 对 话 框 “ 连 接 时 使 用 ”下 拉 列 表 中 选择 





(4) 在 “连接 时 使 用 ”下 拉 列 表 中 选择 连接 PC 机 的 COM 口 〈 此 处 为 COM1 口 ) ， 然 
开 如 图 3-4 所 示 对 话 框 ， 设 置 COM 口 属性 。 


























连接 到 笔记 本 电脑 的 USB 接 








上 下 载 一 个 USB 转 RS-232 的 驱动 






































其 实在 这 里 只 需 而 














设置 即 可 : 每 秒 位 数 : 9600; 数据 位 : 8 位 ; 





单 击 “还 原 为 缺 省 








奇偶 校 验 : 无 ， 停止 位 :1 位 ; 





输入 名 称 并 为 该 连接 选择 图 标 : 
名 称 他) : 
commll 


图 3-2“ 连 接 描述 








术 ” 对 话 框 




















值 CR) ?按钮 ， 按 如 下 缺 省 


USB 口 转换 生成 的 逻辑 COM 





后 单 击 “ 确 定 ”按钮 打 








制 : 无 。 





输入 待 拔 电 话 的 详细 信息 : 


国家 地 区 ) 此) : 


区 号 @): 
电话 号 码 中): 


连接 时 使 用 QD IN 





图 3-3 “连接 到 ”对 话 框 


(0) OO 属性 
端口 设置 
每 秘 位 数 (8): |9600 
数据 位 (0): 8 
育 偶 校 验 FE): | 无 


停止 位 (8): |1 


数据 流 控 宙 C) ，[ 玫 区 


还 原 汶 默认 值 &) 








确定 取消 应 用 必 ) 





图 3-4“COMI1 属 性 对话 框 





(5) 单 击 “ 确 定 ?按钮 ， 超 级 终端 就 会 开始 与 所 连接 的 交换 机 建立 连接 ， 直 到 系统 出 现 如 下 配置 密码 提 





示 。 
说 明 


























首次 登录 时 会 提示 用 户 配 置 登录 密码 (系统 会 自动 保存 此 密码 配置 ) 。 密 码 为 6~ 16 个 字符 ， 区 分 大 
小 写 。 为 保证 安全 性 ， 建 议 输入 的 密码 至 少 包含 以 下 几 种 类 型 : 大 写字 母 、 小 写字 母 、 数 字 及 特殊 字符 ， 
但 不 能 包括 “? ”和 空格 。 此 处 采用 的 是 隐 式 方式 输入 ， 所 以 所 输入 的 密码 不 会 在 终端 屏幕 上 显示 。 

如 果 交 换 机 在 出 厂 时 已 有 初始 密码 ， 请 输入 初始 密码 “Admin@huawei.com” 进 入 系统 ， 但 此 密码 不 是 安 
全 密码 ， 建 议 及 时 修改 ， 修 改 方法 请 参见 本 章 3.4.4 节 介绍 。 

Please configure the login password (6-16) #-- 配 置 6~16 位 的 登录 密码 


Enter Password: ”#--- 配 置 密码 


























































































































Confirm Password: ”#--- 重 复 输入 一 次 上 述 配 置 的 密码 
密码 配置 成 功 后 ， 当 用 户 采 用 密码 验证 方式 再 次 通过 此 Console 用 户 界面 登录 VRP 系 统 时 ， 所 要 输入 的 


























2 





有 户 密 码 即 为 这 里 所 配置 的 验 记 











E 密 码 。 有 关 Console 登录 的 验 训 



































FE 方 式 配置 方法 参见 本 章 后 面 的 3.4.4 节 。 




















配置 好 密码 后 就 成 功 进 入 VRP 系 统 了 。 此 时 用 户 可 以 键入 命令 对 交换 机 进行 配置 ， 需 要 帮助 可 以 随时 








键入 “?” a 


3.1.2 通过 MiniUSB 口 登录 








对 于 S5700LI5700S-LI5710EI 系 列 交 换 机 ， 如 果 用 户 PC 机 没有 可 用 串口 ， 还 可 以 使 用 PC 机 上 的 USB 口 
连接 到 交换 机 的 MiniUSB 口 实现 VRP 系 统 的 首次 登录 。 但 在 通过 MiniUSB 口 登录 交换 机 前 需要 在 用 户 终端 安 
装 MiniUSB 口 的 驱动 程序 。 且 同一 时 刻 ， 交 换 机 上 的 MiniUSB 口 和 Console 口 只 有 一 个 可 以 使 用 ， 因 为 它们 
使 用 的 是 同一 条 线路 。 

下 面 同样 以 Windows XP 系统 的 超级 终端 作为 终端 仿真 软件 为 例 进 行 介绍 。 具 体 步 又 如 下 。 

(1) 使 用 MiniUSB 线 缆 将 PC 的 USB 口 和 交换 机 的 MiniUSB 口 人 
(2) 双击 获取 交换 机 的 MiniUSB 口 驱动 程序 ， 打 开 如 图 3-5 所 示 的 欢迎 对 话 框 ， 开 始 在 PC 端 安装 
MiniUSB 口 的 驱动 程序 。 

说 明 

交换 机 MiniUSB 口 驱 动 程 序 可 以 从 华为 公司 企业 业务 网 站 〈 http://support. huawei.comy/enterprise) 中 获 
取 。 登 录 后 ， 在 “软件 下 载 > 产品 软件 > 企业 网 络 > 交换 机 > 园区 交换 机 ?路 径 下 根据 产品 型 号 和 版 本 名 称 到 
相应 路 径 下 获取 交换 机 的 MiniUSB 口 的 驱动 程序 Switch-MiniUSB-driver.001.zip。 目 前 此 驱动 程序 仅 支 持 
Windows XP/VISTA/Windows7 操 作 系 统 。 

(3) 单 击 “Next”* 按 钮 ， 打 开 如 图 3-6 所 示 对 话 框 。 选 择 “I accept the terms of the License Agreement” 单 选 
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No 
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| elCOme to the Wizard for 
TUSB3410 Single Driver Installer. 


The Wizard will allow to unpackage TUSB3410 Single Driver 
Installer, To continue, click Next, 





| Next > | | Cancel 














图 3-5 MiniUSB 口 驱动 程序 安装 欢迎 对 话 框 








二 IU5B3410 Single Driver Installer 


License Agreement 
Please read the following license agreement carefully, 


Press Page Down to see the rest of the agreement., 





TUSB3410 VCP Driver Software License Agreement 
fwersion 1 as of 27 March 2006) 


Important - Please read the following license agreement carefully. 
This is a legally binding agreement， After you read this license 
agreement you will be asked whether you accept and agree to the 
eh of this license agreement，Do not click “| have read and v 


IF you accept the terms of the agreement, select the first option below, You must accept the 
agreement to install TUSB3410 Single Driver Installer, Click Next to continue., 


\ nt 
Ol do not accept the terms of the License Agreement 


| <Back Next > Cancel | 





图 3-6 接受 软件 协议 对 话 框 





(4) 单 击 “Next” 按 钮 ， 打 开 如 图 3-7 所 示 对 话 框 。 
(5) 单 击 “Browse” 按 钮 可 以 更 改 驱 动 程序 解压 的 路 径 ， 然 后 单 击 “Install* 按 钮 ， 对 驱动 程序 进行 解 





压 ， 完 成 后 打开 如 图 3-8 所 示 对 话 框 。 单 击 “Finish” 按 钮 完成 程序 解压 。 






































(6) 在 第 4 步 中 指定 的 解压 路 径 下 找到 “TUSB3410 Single Driver Installer” 文 件 夹 ， 找 到 并 双 
击 “setup.exe” 图 标 ， 然 后 按 提示 一 步 步 完 成 驱动 程序 的 安装 。 安 装 完成 后 会 在 “交换 机 管理 器 ”的 “端口 
CCOM 和 LPT) ” 栏 中 显示 “TUSB3410 Device”， 表 示 为 已 正确 安装 。 












































(7) 使 用 终端 仿真 软件 通过 MiniUSB 口 登录 交换 机 ， 这 后 面 的 登录 步骤 与 上 节 介 绍 的 通过 Console 口 






































登录 交换 机 的 步骤 就 完 





全 一 样 了 ， 参 见 即 可 。 只 不 过 这 里 在 如 图 3-3 所 示 的 对 话 框 中 所 要 选择 的 COM 口 不 再 






































是 PC 终端 上 的 物理 COM 口 ， 而 是 由 TUSB3410 口 根据 当前 连接 所 创建 的 逻辑 COM 口 ， 通 常会 在 对 话 框 中 自 

















动 显 示 ， 不 需要 再 更 改 。 








最 后 也 是 可 以 配置 验证 密码 ， 完 成 后 进行 VRP 系 统 ， 可 以 开始 VRP 系 统 的 使 用 了 。 

















完 IUSB3410 Single Driver Installer 
Destination folder 


Please select the folder to unpackage the TUSB3410 Single Driver 
Installer， 


Please select unpackage directory: 


Destination Folder 


‘\Program Files\Texas Instruments Inc Browse.,,, 


Space required: 10.7MB 
Space available; 2,4GB 





<Back Install Cancel 


图 3-7 选择 驱动 程序 解压 路 径 对 话 框 
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TD Single _ Driver lnstaller 


时 Texas Instruments Wizard Completed 


The wizard has 3Jcccssfully unpackage TUSB34L0 Singe 
Criver Jnstaler, Cick Frish to exit the wizard 





图 3-8 解压 完成 对 话 框 








3.2 交换 机 基本 配置 的 配置 











在 配置 业务 之 前 ， 用 户 往往 需要 根据 系统 运行 时 的 环境 要 求 进行 一 些 基 本 配置 ， 以 满足 运行 维护 需 
求 。 通 过 以 上 介绍 的 本 地 登录 就 可 以 配置 这 些 交 换 机 的 基本 配置 了 ， 如 交换 机 的 时 间 和 日 期 、 交 换 机 的 名 
称 和 IP 地 址 、 标 题 文 本 、 命 令 级 别 和 用 户 级 别 切换 密码 等 。 因 为 命令 级 别 和 用 户 级 别 切 换 密码 已 在 上 一 章 
2.2.3 节 详细 介绍 ， 故 不 再 袭 述 ， 在 此 仅 介绍 前 面 三 部 分 基本 配置 。 










































































3.2.1 配置 交换 机 时 间 和 日 期 











化 为 S 系 列 交 换 机 与 任何 网 络 交 换 机 一 样 ， 时 间 和 日 期 的 显示 是 非常 重要 的 ， 否 则 交换 机 无 法 进行 一 些 
同步 操作 ， 也 无 法 正确 显示 一 些 日 志 记 录 信息 等 ， 其 至 无 法 正常 工作 。 华 为 S 系 列 园区 交换 机 的 时 间 和 日 期 
设置 命令 如 表 3-1 所 示 《〈 都 是 在 用 户 视图 下 进行 的 ) 。 







































































表 3-1 S 系 列 交 换 机 的 时 间 和 日 期 配置 命令 

















clock timezone time-zone-name 
{add | minus } offser 


clock datetime HH-MM:SS YYYY- 
MM-DD 


clock 

daylight-saving-time time-zone 
-name one-year start-time start- 
date end-time end-date offset 

或 

clock davylight-saving-time /ime- 
zone-name repeating start-time 
{ {first |second | third |fourth | 
last } weekday monih | start-da 
-tel } end-time { 1 first | secon 
d | third | fourth | last }weekay 
month | end-date] } offset [ sta-rt 
-year [end-vear ] ] 


设置 所 在 时 区 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) time-zone-name: 指定 时 区 名 称 ， 长 度 范 围 为 1 一 32 个 字符 ， 区 
分 大 小 写 ， 不 支持 空格 。 我 国 的 时 区 名 通常 写成 BJ， 国 际 标准 时 区 
为 UTC (Universal Time Coordinated， 世 界 协调 时 间 ) 

(2)add: 二 选 一 选项 , 指定 与 通用 协调 时 间 UTC 相 比 , time-zone-name 
时 区 增加 的 时 间 偏 移 量 。 即 在 系统 缺 省 的 UTC 时 区 的 基础 上 , 加 上 
ofjset 参数 值 就 可 以 得 到 time-zone-name 时 区 所 标识 的 时 区 时 间 。 我 
国 的 时 区 相对 UTC 时 区 来 说 ， 必 须 加 上 8 个 小 时 的 时 间 偏 移 量 
(3) minus: 二 选 一 选项 ， 指 定 将 在 UTC 标准 时 间 的 基础 上 减 去 指 
定 的 时 区 偏 移 量 。 即 在 系统 缺 省 的 UTC 时 区 的 基础 上 ， 减 去 offset 
参数 值 就 可 以 得 到 time-zone-name 所 标识 的 时 区 时 间 

(4) offset: 指定 与 UTC 的 时 间 差 。 格 式 是 HH:MM:SS。HH 表示 小 
时 : 如 果 本 地 时 间 快 于 UTC 时 间 ， 取 值 范围 为 0 一 14 的 整数 ， 如 果 
本 地 时 间 慢 于 UTC 时 间 ， 到 值 范围 为 0 一 12 的 整数 ，MM 和 SS 分 
别 表示 分 和 秒 ， 取 值 范围 为 0 一 59， 当 HH 取 值 为 最 大 值 的 时 候 ， 
MM 和 SS 只 能 到 值 为 0 

如 果 没 有 指定 时 区 名 称 ， 则 系统 采用 缺 省 值 “DefaultZoneName ”， 
可 用 undo elock timezone 命令 将 本 地 时 区 恢复 为 缺 省 的 UTC 时 区 
(通常 为 伦敦 时 区 》 

设置 当前 时 间 和 日 期 。 命令 中 的 参数 说 明 如 下 。 

(1) HH:MM:SS: 指定 交换 机 当前 时 钟 。HH 表示 小 时 ， 取 值 范围 为 
0 一 23 的 整数 ，MM 表示 分 钟 ， 取 值 范围 为 0 一 59 的 整数 ;SS 表示 
秒 ， 取 值 范围 为 0 一 59 的 整数 

(2) YYYYMM-DD: 指定 交换 机 当前 年 、 月 、 日 。YYYY 表示 年 份 ， 
取 值 范围 为 2000 一 2099 的 整数 ，MM 表示 月 份 ， 取 值 范围 为 1 一 12 
的 整数 ，DD 表示 日 期 ， 取 值 范围 为 1 一 31 的 整数 

【注意 】 当 时 区 为 0 时 ， 通 过 本 命令 设置 的 时 间 将 被 认为 是 UTC 时 
间 。 建 议 设 置 当 前 时 间 时 务必 清楚 所 在 时 区 ,设置 正确 的 UTC 时 间 ， 
以 保证 本 地 时 间 正 确 


(可 选 ) 设置 系统 夏令 时 ,现在 我 们 国家 好 象 基本 不 用 夏令 时 了 ,所 
以 这 项 配置 仅 作 一 般 了 解 即 可 。 缺 省 情况 下 ， 系 统 没 有 设置 夏令 时 。 
两 个 命令 中 的 参数 说 明 如 表 3-2 所 示 。 

缺 省 情况 下 ， 系 统 未 使 能 夏令 时 ， 可 用 undo clock daylight- 
saving-time 命令 取消 夏令 时 设置 

当当 前 时 间 处 在 夏令 时 时 ， 执 行 命令 clock timezone time- 
zone-name { add | minus }offset 设置 时 区 名 是 可 以 成 功 的 。 但 此 时 执 
行 命令 display clock 显示 的 时 区 名 为 夏令 时 名 , 当 夏 令 时 结束 之 后 ， 
就 会 显示 之 前 设置 的 时 区 名 





表 3-2 clock daylight-saving-time 命 令 参 数 和 选项 说 明 


参数 或 选项 参数 或 选项 说 明 


指定 夏令 时 区 名 称 ， 长 度 范围 为 1 一 32 个 字符 


one-year 指定 采用 一 年 制 绝对 夏令 时 








repeating 指定 采用 周期 制 夏 令 时 


指定 起 始 时 间 ， 格 式 为 HH:-MM，24 小 时 制 ， 其 中 HH 表示 小 时 ， 取 值 范围 为 0 一 
start-time 23 的 整数 ，MM 表示 分 钟 ， 取 值 范围 为 0 一 59 的 整数 。 可 以 不 输入 MM， 表 示 0 
分 ， 但 至 少 需要 输入 一 位 数 的 HH 的 值 ， 例 如 输入 0， 则 表示 0 小 时 0 分 
指定 起 始 日 期 ， 格 式 为 YYYYMM-DD，YYYY 表示 年 ， 取 值 范围 为 2000 一 2099 的 
start-date 整数 ，MM 表示 月 ， 取 值 范围 为 1 一 12 的 整数 ，DD 表示 日 期 ， 取 值 范围 是 1 一 31 
的 整数 
end-time 指定 结束 时 间 ， 格 式 为 HH:MM，24 小 时 制 ， 其 他 与 前 面 的 start-time 参数 说 明 一 样 
end-date 指定 结束 日 期 ， 格 式 是 YYYY-MM-DD， 其 他 与 前 面 的 start-date 参数 说 明 一 样 

多 选 一 选项 ， 指 定 夏 令 时 起 始 或 结束 时 间 中 的 第 一 个 工作 日 (由 后 面 的 weekday 
参数 指定 ) 
多 选 一 选项 ， 指 定 夏 令 时 起 始 或 结束 时 间 中 的 第 二 个 工作 日 (由 后 面 的 weekday 
参数 指定 ) 
多 选 一 选项 ， 指 定 夏令 时 起 始 或 结束 时 间 中 的 第 三 个 工作 日 (由 后 面 的 weekday 
参数 指定 ) 
多 选 一 选项 ， 指 定 夏令 时 起 始 或 结束 时 间 中 的 第 四 个 工作 日 (由 后 面 的 weekday 
参数 指定 ) 
多 选 一 选项 ， 指 定 夏令 时 起 始 或 结束 时 间 中 的 最 后 一 个 工作 日 (由 后 面 的 weekday 
参数 指定 ) 
指定 夏令 时 起 始 或 结束 时 间 中 的 工作 日 ， 取 值 : Mon、Tue、Wed、Thu、Fri、Sat、 
Sun， 分 别 表 示 从 星期 一 到 星期 日 
指定 夏令 时 起 始 或 结束 时 间 中 月 份 ， 取 值 : Jan、Feb、Mar、Apr、May、Jun、Jul、 
Aug、Sep、Oct、Nov、Dec， 分 别 表 示 从 1 月 份 到 12 月 份 

- 选 一 参数 , 指定 夏令 时 开始 日 期 , 格式 是 MM-DD, MM 表示 月 , 取 值 范围 为 1 一 
12 的 整数 ，DD 表示 日 期 ， 取 值 范围 为 1 一 31 的 整数 

- 选 一 参数 ， 指 定 夏 令 时 结束 日 期 ， 格 式 是 MM-DD， 其 他 与 前 面 的 start-datel 参 
数 说 明 一 样 
指定 采用 夏令 时 的 时 差 〈 或 偏 移 值 )， 格 式 是 HH:MM，24 小 时 制 。HH 表示 小 时 ， 
ofer 取 值 范围 为 0 一 23 的 整数 ，MM 表示 分 ， 取 值 范围 为 0 一 59 的 闽 数 。 可 以 不 输入 
MM， 表 示 0 分 ， 但 至 少 需要 输入 一 位 数 的 HH 的 值 

可 选 参数 ， 指 定 开始 年 份 ， 格 式 是 YYYY，YYYY 取 值 范围 为 2000 一 2099 的 整数 。 
如 果 不 指 定 本 可 选 参数 ， 则 表示 为 当前 年 份 

可 选 参 数 ， 指 定 结束 年 份 ， 格 式 是 YYYY，YYYY 取 值 范围 为 2000 一 2099 的 整数 。 
如 果 不 指定 本 可 选 参数 ， 则 表示 为 当前 年 份 


【示例 1】 假 设 地 理 位 置 在 中 国 北京 ， 设 置 本 地 时 区 名 称 为 BJ， 时 差 增加 8。 
<HUAWEI> clock timezone BJ add 08:00:00 

【示例 2】 设 置 系统 当前 日 期 为 2013 年 5 月 
<HUAWEI> clock datetime 0:0:0 2013-05-01 

【示例 3】 按 周期 设置 夏令 时 。 从 2013 年 1 月 的 第 一 个 星期 天 0 点 开始 到 2013 年 的 4 月 的 第 一 个 星期 天 的 

时 差 为 2 个 小 时 。 

<HUAWEI> clock daylight-saving-timebj repeating 0 first sun jan 0 first sun apr 2 2013 2013 

【示例 4】 按 日 期 设置 周期 夏令 时 。 从 当年 1 月 1 日 的 12 时 11 分 到 3 月 4 日 的 1 时 的 时 差 值 为 1 个 小 时 。 
<HUAWEI> clock daylight-saving-time bj repeating 12:11 1-1 1:0 3-4 1 

【示例 5】 设 置 绝对 夏令 时 。 从 2013 年 10 月 2 日 的 12 时 11 分 到 2013 年 11 月 4 日 的 1 时 的 时 差 为 1 个 小 时 。 
<HUAWEI> clock daylight-saving-time bj one-year12:11 2013-10-2 1:00 2013-11-4 1 
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3.2.2 配置 交换 机 名 称 和 IP 地 址 




















这 里 所 配置 的 JP 地址 可 以 看 成 是 管理 IP 地 址 ， 专 为 日 后 进行 Telnet 之 类 的 远程 交换 机 登录 使 用 。 但 这 里 
要 注意 的 是 ， 在 华为 交换 机 中 除了 一 些 交换 机 提供 的 专门 管理 口 ( 通 常 为 Ethernet0/0/0 接 口 ) 外， 不 能 直接 
在 物理 接口 上 配置 IP 地 址 ， 仪 可 在 VLAN 接 口 、Loopback、Tunnel、 子 接口 等 这 些 逻 辑 接口 上 配置 IP 地 
址 。 管 理 耻 地 址 通常 是 在 管理 接口 ， 或 者 VLAN 接口 上 配置 ， 如 果 交 换 机 没有 提供 管理 接口 ， 通 常 是 在 
VLAN 接 口上 配置 ， 可 直接 在 缺 省 的 VLAN1 接 口上 配置 。 具 体 配置 步 又 如 表 3-3 所 示 。 
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表 3-3 交换 机 名 称 和 了 地址 的 配置 步 又 








说 明 





System-view 间 入 碧 妈 :向 区 
例如 : <HUAWEI> system-view 进入 系统 视图 
设置 交换 机 名 称 ， 为 1 一 246 个 字符 , 支持 空格 ， 区 分 大 小 
写 。 当 网 管 工具 需要 获取 交换 机 的 网 元 名 称 ， 可 通过 
sysname host-name sys-netid netid 命令 设置 交换 机 的 网 元 名 称 ， 参 数 netid 为 
例如 : [HUAWEI] sysname SWA | 长 度 范围 为 16 一 240 个 字符 ， 支 持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 华 为 的 交换 机 缺 省 主机 名 为 “HUAWEI” 或 
“Huawei”， 在 此 以 “HUAWEI” 为 例 

interface interface-type interfa-c 键入 要 配置 IP 地 址 的 接口 , 进入 接口 视图 。 除了 交换 机 的 








3 e-number 管理 口 ， 也 可 以 在 交换 机 的 其 他 三 层 接 口 (如 VLANIF 接 
[SWA] interface vlanif 2 口 ) 配置 IP 地 址 ， 进 行 Telnet 登录 





为 以 上 接口 配置 IP 地址。 命令 中 的 参数 和 选项 说 明 如 下 
(1) ip-address: 指定 接口 的 IP 地 址 
(2) mask: 二 选 一 参数 ， 指 定 所 设置 的 人 P 地 址 对 应 的 子 网 掩 码 
ip address ip-address { mask | | (3) mask-length 二 选 一 参数 ， 指 定 所 设置 的 IP 地 址 对 应 
enet [sub Iqress | 的 子 网 掩 码 长度 
例如 [SWA-Vlani2] ip address | (4) sab: 可 选项 ,指定 以 上 的 二 地址 为 从 全 地址， 如 果 


不 选择 此 可 选项 ， 则 设置 的 了 P 地 址 为 主 IP 地 址 
如 果 要 利用 这 个 IP 地 址 进行 Telnet 远程 登录 的 话 , 则 还 需 
要 确保 登录 终端 与 交换 机 间 的 路 由 可 达 
【示例 】 配 置 VLANIF2 接 口 的 主 IP 地 址 为 10.1.1.2， 从 IP 地 址 为 11.1.1.3， 子 网 掩 码 均 为 255.0.0.0。 
<HUAWEI>system-view 
[HUAWEI]| interfacevlanif 2 
[HUAWEI-Vlanif2] ip address 10.1.1.2 8 


[HUAWEI-Vlanif2] ip address 11.1.1.3 255.0.0.0 sub 























3.2.3 设置 标题 文本 





























如 果 需 要 对 登录 的 用 户 提供 警示 或 说 明 信 息 ， 可 以 设置 登录 交换 机 时 或 登录 成 功 后 的 标题 文本 ， 但 这 
通常 是 不 需要 进行 的 。 标 题 文 本 是 用 户 在 连接 到 交换 机 、 进 行 登录 验证 以 及 开始 交互 配置 时 系统 显示 的 一 
段 提 示 信 息 。 

标题 文本 有 两 种 ， 一 种 是 在 登录 时 显示 的 文本 ， 另 一 种 是 在 登录 成 功 后 显示 的 文本 。 它 们 的 配置 方法 
都 很 简单 ， 只 需 在 系统 视图 下 使 用 header login { information text | file file-name } 命 令 设 置 用 户 登 录 时 显示 
的 标题 文本 《但 需要 用 户 设置 通过 验证 方式 登录 到 交换 机 上 ， 和 否则 系统 不 会 显示 ) ， 使 用 header shell { 
information text | file file-name } 命 令 设 置 用 户 登录 成 功 后 显示 的 标题 文本 即 可 。 两 命令 中 的 参数 说 明 如 下 。 

(1) text: 二 选 一 参数 ， 指 定 标 题 信息 和 内 容 ， 最 多 为 480 个 字符 ， 支 持 空格 和 换行 。 标 题 信息 以 第 
一 个 英文 字符 作为 起 始 符 号 (通常 是 & 或 者 % 之 类 的 非 字母 类 符号 ) ， 最 后 一 个 英文 字符 作为 结束 符 ， 起 始 
符 与 结束 符 必须 相同 ， 否 则 系统 将 会 提示 错误 。 

说 明 

标题 信息 和 内 容 可 以 采用 “交互 输入 ”和 “ 非 交 互 输入 ”两 种 方式 。 交 互 输入 就 是 只 需要 执行 不 带 任何 参 
数 的 header login information 或 header shell informatio n 命 令 时 ， 在 自动 提示 下 输入 标题 信息 ， 用 户 可 以 根 
据 标题 信息 的 内 容 随 时 按 回 车 键 进行 换行 输入 ; 非 交 互 输入 是 指 输入 带 text 参 数 的 以 上 命令 。 

(2) fe-name: 二 选 一 参数 ， 指 定 标题 信息 所 使 用 的 文本 文件 名 ， 是 通过 调用 文件 来 实现 的 ， 文 件 名 
为 1 一 256 个 字符 。 文 件 名 必须 包含 标题 文件 所 在 的 绝对 路 径 ， 格 式 为 [drive] [path] [file name] ，drive 是 指 存 
储 器 名 称 ，path 是 指 文件 存放 的 目录 路 径 ，file name 为 文件 名 ， 且 该 文件 名 所 标识 的 标题 文件 内 容 最 大 为 
2kB， 和 否则 配置 失败 。 

说 明 

如 果 是 在 用 户 成 功 登 录 交 换 机 后 修改 指定 文件 中 的 标题 信息 ， 系 统 中 已 经 显示 的 标题 信息 不 会 修改 ， 
且 即 使 当前 用 户 退 出 交换 机 后 再 重新 登录 交换 机 ， 标 题 信息 也 不 会 改变 。 仅 当 发 生 以 下 两 种 情况 : 中 交 




















































































































































































































































































































换 机 重启 前 重新 执行 本 命令 ， 用 户 退 出 交换 机 后 再 重新 登录 交换 机 ， 标 题 信息 将 更 新 为 修改 后 的 标题 信 
息 ; 交换 机 重启 后 ， 标 题 信息 将 更 新 为 修改 后 的 标题 信息 。 
缺 省 情况 下 ， 用 户 登 录 时 和 登录 成 功 时 在 终端 上 均 不 显示 标题 信息 ， 分 别 可 用 undo header login 
或 undo header shell 删除 用 户 登 录 时 或 登录 成 功 时 在 终端 上 显示 的 标题 信息 。 
以 上 两 命令 可 多 次 执行 ， 如 果 多 次 配置 标题 信息 ， 以 最 后 一 次 配置 为 准 〈 通 过 这 种 方式 可 以 非常 简 身 
地 修改 标题 信息 ， 不 用 执行 对 应 的 undo 命令 ) 。 设 置 登录 标题 后 ， 所 有 用 户 登 录 到 系统 上 都 能 看 到 该 标题 
信息 。 
【示例 1】 配 置 会 话 建 立 标题 〈 非 交互 方式 ) 。 
<HUAWEI>system-view 
[HUAWEI] header shell information&Hello! Welcome to system!& #-- 在 起 始 字 符 “&” 后 直接 输入 标题 信 
息 ， 再 以 “&* 作 为 结束 字符 ， 按 回 车 键 执行 完毕 
此 时 用 户 登 录 成 功 后 会 显示 以 上 配置 的 Shell 标 题 。 
Hello! Welcome to system! 
【示例 2】 配 置 会 话 建立 标题 (交互 方式 ) 。 
<HUAWEI>system-view 
[HUAWEI] header shell information % # 输 入 起 始 字 符 “%” 后 按 
自动 显示 系统 提示 信息 ， 然 后 直接 输入 标题 信息 ) 


The banner text supports 480 characters max, including the start and the end cha 
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车 键 ， 进 入 交互 过 程 ( 在 下 面 首 


路 





| 友和 


























racter.If you want to enter more than this, use banner file instead.Input banner 

text, and quit with the character '%': 

Hello! 

Welcome to Systeml!9% ”# 输 入 结束 字符 “%” 后 按 回 车 键 ， 退 出 交互 过 程 ， 执 行 完 毕 
[HUAWEI] quit 














<HUAWEI> 
此 时 用 户 登 录 成 功 后 会 显示 以 上 配置 的 Shell 标 题 。 
Hello! 


Welcome to system! 

【示例 3】 指 定 登 录 标题 使 用 的 文件 。 
<HUAWEI>system-view 
[HUAWEI] header login file cfcard:/header-file.txt 








3.3 用 户 界面 












































当 用 户 通过 Console 口 、Telnet 或 SSH 方 式 登录 交换 机 时 ，VRP 系 统 会 为 登录 用 户 分 配 相应 的 用 户 界 面 
(CUser-interface) 管理 当前 用 户 与 交换 机 之 间 的 会 话 。 华 为 $ 系 列 交 换 机 的 VRP 系 统 支 持 “Console 用 户 界 

看 > 和 “VTY 用 户 界 面 > 这 两 大 类 。 当 用 户 通过 Console 口 或 者 MiniUSB 口 登 录 交 换 机 实现 本 地 维护 时 ， 可 以 
根据 使 用 需求 或 对 交换 机 安全 的 考虑 ， 配 置 相 应 的 Console 用 户 界面 属性 ， 当 用 户 通过 Telnet 或 SSH 方 式 登录 


交换 机 实现 本 地 或 远程 维护 时 ， 可 以 根据 用 户 使 用 需求 以 及 对 交换 机 安全 的 考虑 ， 配 置 VTY 用 户 界面 。 
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3.3.1 用 户 界 面 概 述 




















用 户 界 面 视 图 是 VRP 系 统 提供 的 一 种 
和 MiniUSB 口 











接口 〈 包 括 Console 
的 。 

1. Console 用 户 界 面 
j 户 界面 是 指 















































Console 




















j 户 通过 Console 口 








命令 行 视图 ， 用 来 配置 和 管理 


) 和 逻辑 接口 ) ， 从 而 达到 统一 管理 各 种 用 户 界 男 



































所 有 工作 在 异步 交互 方式 下 的 物理 



































的 目 








(VTY 虚 拟 接 口 








(包括 MiniUSB 口 ， 登 录 到 交换 机 后 的 用 户 界面 。Console 口 














是 一 种 通信 串 行 接口 ， 由 交换 机 的 主 控 板 提供 。 一 块 主 控 板 提供 一 个 Console 口 ， 接 口 








与 交 














DCE 。 
2. VTY 用 户 界 面 








或 SSH 连 接 后 ， 
样 ， 具 体 将 在 后 盏 
3. 用 户 与 用 户 界 再 
















































































用 户 界面 与 用 户 并 没有 加 
多 个 ， 每 个 用 户 界 面 可 以 分 配给 一 个 用 户 使 用 。/ 
虽然 单个 用 户 界面 条 一 时 刻 可 能 只 有 一 个 用 户 








日 








j 户 终端 的 串 行 接口 可 以 与 交 




















不 同时 间 也 可 以 




















用 户 登 录 时 ， 系 统 会 根 和 


四 用 户 








VTY (Virtual Type Terminal， 虚 拟 类 型 终端 ) 是 一 种 虚拟 线路 端口 
















































































配置 与 管理 





时 介绍 。 











应 关系 ，Console 类 型 的 


























j 户 界面 只 有 一 个 ， 




















晶 YTY 类 型 的 用 




















类 型 为 EIA/TIA-232 


换 机 Console 口 直接 连接 ， 实 现 对 交换 机 的 本 地 访问 。 





。 用 户 通 过 终端 与 交换 机 建立 Telnet 
即 建立 了 一 条 VTY 连 接 (或 你 VTY 虚 拟 线 路 )。 不 同 S 系 列 交 换 机 所 支持 的 VTY 连 接 数 不 一 
3.5 节 VTY 用 户 界 画 
[的 关系 

定 的 对 














户 界面 有 





























j 户 界面 的 管 







































































不同 用 户 使 用 。 











使 用 ， 但 它 并 不 针对 某 个 固定 用 








里 和 监控 对 象 是 使 用 某 种 方式 登录 的 用 户 ， 
户 ， 因 为 即使 是 同一 用 户 界 











的 登录 方式 














自动 给 用 户 分 配 一 个 当前 























界面 ， 整 个 登录 过 程 将 受 该 用 





户 界 











Console 用 户 界面 视图 下 的 配置 约束 ; 














自视 图 下 的 配置 约束 。 比 如 ) 
当 使 用 VTY 1 用 



































户 界 

















户 A 使 用 Console 口 登录 交换 机 时 ， 
而 登录 交换 机 时 ， 将 受到 VTY 1 用 


空间 的 、 编 号 最 小 的 茶 类 型 的 用 户 


将 受到 


下 视图 下 

















户 界 























的 配置 约束 。 同 一 用 户 登 录 的 方式 不 同 分 本 

















也 可 能 不 同 。 具 体 将 在 下 节 介 绍 。 

















3.3.2 用 户 界 面 的 编号 
































华为 系列 交换 机 上 提供 了 多 个 可 | 




















用 户 界 
方式 自动 分 配 一 个 当前 空闲 ， 
种 方式 。 

1. 相对 编号 












































所 谓 “ 相 对 编号 ”就 是 针对 具体 类 型 用 户 界面 进行 的 编号 方式 ， 其 格式 为 : 
是 我 们 配置 交换 机 功能 时 通常 采用 的 编号 方式 。 此 种 编号 方式 只 能 唯一 指定 某 利 








面 有 多 个 ， 而 且 这 么 多 用 户 界 夯 


的 用 户 界面 也 不 同 ; 同一 | 





























的 用 









































户 界 证 
都 有 一 个 固定 编号 。 当 / 
量 编 号 最 小 的 相应 类 型 的 用 户 细 





] 户 登录 的 时 间 不 同 分 配 的 | 

















j 户 界面 






















































































也 





， 其 中 Console 类 型 的 用 户 界面 只 有 
j 户 登录 交换 机 时 系统 会 根据 此 用 户 的 登录 
面 给 这 个 用 户 。 用 户 界 面 的 编号 包括 以 下 两 


个 ，VTY 类 型 的 


























用 户 界 本 





类 型 十 编号 ， 这 也 




















或 一 组 ， 而 不 能 跨 类 型 操作 。 相 对 编号 方式 遵守 的 规则 如 下 。 





(1) Console 编 号 : 固定 为 CON 0， 且 只 有 这 
(2) VTY 编 号 : 第 一 个 为 VTY 0， 第 二 个 为 VTY 1， 最 高 编号 为 VTY 14， 


2. 绝对 编号 











使 用 绝对 编号 方式 可 以 唯 

















个 编号 。 























说 ™ 





一 地 指定 一 个 用 户 界面 或 


数 ) 命令 查看 交换 机 当前 支持 的 用 户 界 面 以 及 它们 的 绝对 编号 。 

















每 个 主 控 板 上 Console 
Telnet/SSH 用 户 的 用 




















只 有 一 个 ， 但 YTY 类 型 的 用 
户 接口 ，16 一 20 是 预 留 给 网 管用 户 






































户 界 























类 型 的 用 户 界面 中 的 一 个 


共有 15 个 。 


组 用 户 界面 。 可 用 display user-interface (不 带 参 


而 最 多 可 有 20 个 〈 其 中 0 一 14 提 供给 普通 
的 接口 ， 但 不 同 交 换 机 所 支持 的 线路 数 不 一 样 ) ， 还 








可 在 系统 视图 下 使 用 user-interface maximum-vty 命令 人 为 设置 最 大 可 用 的 用 户 界 面 个 数 ， 其 缺 省 值 为 5， 





即 VTY 0~4。 缺 省 情况 下 ， Console 和 VTY 用 户 界 面 在 VRP 系 统 中 的 绝对 编号 和 相对 编 











号 分 配 如 表 3-4 所 


























表 3-4 用 户 界 

















看 的 绝对 和 相对 编号 说 明 





绝对 编号 


用 户 界 面 类 型 


说 明 





用 来 管理 和 监 
控 通 过 Console 
口 登录 的 用 户 


Console 


用 户 界面 0 


0 





34 一 48， 
50 一 54。 其 
149 保留 ， 
50 一 54 为 
网 管 预 留 
编号 


用 来 管理 和 监 
控 通 过 Telnet 
或 SSH 方式 登 
录 的 用 户 


VTY 用 户 界面 











-个 为 VTY 0， 第 二 个 为 VTY 1， 依 此 类 推 。 缺 
省 存在 VTY 0 一 4。 绝对 编号 34 一 48 对 应 相对 编号 
VTY 0~VTY 14; 绝对 编号 S0 一 54 对 应 相对 编号 
VTY 16~ 一 VTY 20; 其 中 VTY 15 保留 ，VTY 16 一 
VTY 20 为 网 管 预 留 编号 。 只 有 当 VTY 0 一 VTY 14 
全 部 被 占用 ， 且 用 户 配置 了 AAA 验证 的 情况 下 才 
可 以 使 用 VTY 16 一 VTY 20 


第 
































户 验 训 





E 和 优先 级 





3.3.3 用 户 界 面 的 用 


























| 
. 








用 的 网 络 操 作 系 统 ， 
看 下 的 用 户 验证 。 





因为 VRP 系 统 是 基于 用 户 界 
安全 保护 措施 ， 那 就 是 配置 用 户 界 
VRP 系 统 会 对 用 户 的 身份 进行 验证 。 
1. 用 户 界面 的 用 户 验 证 方式 
VRP 系 统 中 对 用 户 的 验 说 






































































































































FE 方式 有 两 种 : Password 验 说 





所 以 为 了 安全 起 见 ， 需 要 为 不 同 用 户 界 面 配置 相应 的 
配置 用 户 界面 的 用 户 验证 方式 后 ， 用 户 登录 交换 机 时 





























F 和 AAA 验证 : 























行 密码 验 订 








(1) Password 验 证 : 只 需要 进 
置 本 地 用 户 。 此 为 缺 省 认证 方式 。 



































E， 不 需要 进行 月 


只 需 








要 配置 密码 ， 不 需要 配 





户 名 验证 ， 所 以 














(2) AAA 验证 : 需要 同时 进行 用 户 名 验证 和 密 


密码 。 这 种 方式 更 安全 ， 像 Telnet 这 样 的 登录 方 






















































































式 一 般 是 需要 采用 

















码 验证 ， 所 以 需要 创建 本 地 用 户 ， 并 为 其 配置 对 应 的 
AAA 验证 的 ， 但 对 于 像 SSH 用 户 《〈 如 

































































































































































































































































STelnet 登 录 ， 以 及 SFTP、FTPS 访 问 ) 需要 更 加 严格 的 验证 方式 ， 如 通过 SSL 策 略 中 的 证 书 、 密 钥 认 证 ， 有 具 
体 将 在 本 章 后 面 介绍 。 

2. 用 户 界面 优先 级 

VRP 系 统 支 持 对 登录 用 户 进行 分 级 管理 ， 这 就 是 我 们 在 第 2 章 介 绍 的 用 户 级 别 。 与 命令 级 别 一 样 ， 用 户 
级 别 也 对 应 分 为 0 一 15 共 16 个 级 别 ， 标 识 越 高 则 优先 级 越 高 ， 具 体 参 见 第 2 章 2.2.3 节 介绍 。 用 户 所 能 访问 命 
令 的 级 别 由 其 所 使 用 的 用 户 界 面 配置 的 优先 级 《〈 当 采用 不 验证 或 者 密码 验证 方式 时 ) 或 者 为 用 户 自身 配 
置 的 用 户 优先 级 别 〈 当 采用 AAA 验证 方式 时 ) 决定 ， 但 高 级 别 用 户 可 以 访问 比 他 低 的 所 有 级 别 命令 。 也 
就 是 在 AAA 验证 方式 下 ， 用 户 级 别 不 是 由 所 使 用 的 用 户 界面 级 别 确定 ， 而 是 由 具体 的 用 户 账户 优先 级 别 





























确定 ， 更 加 灵活 ， 因 为 这 样 











来 ， 同 一 用 户 界 面 下 的 


不 同 用 户 的 用 户 级 别 可 能 不 一 样 。 当 然 ， 这 也 决定 了 










































































































































































































































































在 AAA 验证 方式 下 ， 必 须 为 具体 的 用 户 配置 具体 的 用 户 优先 级 。 
3.4 Console 用 户 界 面 配置 与 管理 
当 用 户 通过 Console 口 登录 交换 机 实现 本 地 维护 时 ， 可 以 根据 实际 需求 配置 相应 的 Console 用 户 界面 属 
性 ， 包 括 Console 用 户 界面 的 物理 属性 、 终 端 属性 、 用 户 优 先 级 和 用 户 验 证 方式 等 。 但 这 些 参数 都 不 是 必须 
要 配置 的 ， 用 户 可 以 结合 实际 需求 和 安全 性 考虑 选择 配置 。 但 在 配置 Console 用 户 界面 之 前 ， 先 需要 通过 终 
端 才 可 以 登录 交换 机 。 
另外 ， 以 下 配置 内 容 没 有 严格 的 先后 顺序 ， 仅 为 方便 描述 和 理解 采用 步骤 方式 介绍 。 
























































3.4.1 配置 Console 用 户 界 面 的 物理 属性 









































Console 用 户 界 面 的 物理 属性 包括 Console 口 的 传输 速率 、 流 控 方 式 、 校 验 位 、 停 止 位 和 数据 位 。 其 实 这 
些 都 是 针对 串口 通信 的 一 些 属性 进行 配置 的 。 具 体 配 置 步骤 如 表 3-5 所 示 “〈 一 般 无 需 配 置 ， 直 接 采 用 缺 省 配 
置 即 可 ) 。 但 要 注意 的 是 ， 如 果 改 变 了 缺 省 配置 ， 则 在 超级 终端 软件 中 所 设置 的 下 列 属性 一 定 要 和 表 3-5 中 
所 设置 的 物理 属性 保持 一 致 ， 否 则 无 法 登录 。 





































































































表 3-5 Console 用 户 界面 物理 属性 的 配置 步 又 


















































system-view 进入 系统 视图 


例如 : <HUAWEI> system-view 


user-interface console interface-number lS : 和 2 
2 进入 Console 用 户 界 面 视图 ， 参数 interface-number 
| 本 四 a ” 
如 : [HUAWEI] user-interface console 用 来 指定 Console 口 编号 ， 只 能 为 0 








( 续 表 ) 


设置 Console 用 户 界 面 的 传输 速率 。 参 数 

speed-value 用 来 指定 Console 用 户 界 面 的 传输 速 
speed speed-value 率 ,， 单位 为 bits。 取 值 可 以 为 : 300、600、1 200、 
例如 : [HUAWEI-ui-console0] speed 38400 | 4 800、9 600、19 200、38 400、57 600 或 115 200 
缺 省 情况 下 , 传输 速率 为 9 600bits, 可 用 undo speed 
命令 恢复 Console 用 户 界面 的 传输 速率 为 缺 省 值 
设置 Console 用 户 界 面 的 流 控 方 式 。 命 令 中 的 选 
项 说 明 如 下 。 
(1) hardware: 多 选 一 选项 ， 指 定 采用 硬件 流 控 

pe en rt 

flow-control { hardware | none | software } ee Le 间 刘 且 志 
例 各 [HUAWELUieonsole0] Qow-eontrol | (2)》 noney 多 选 一 选项 ， 指 定 不 进行 流量 控制 
NE (3) software: 多 选 一 选项 ， 指 定 采用 软件 流 控 
方式 (采用 数据 链 路 层 协议 进行 流量 控制 ) 
缺 省 情况 下 ， 流 控 方式 为 none， 可 用 undo 
flow-control 命令 恢复 流 控 方 式 为 缺 省 的 none 方式 
设置 Console 用 户 界面 的 校 验 位 。 命 令 中 的 选项 
说 明 如 下 。 
(1) even: 多 选 一 选项 ， 指 定 采 用 偶 校 验 。 采 用 
此 种 校 验 方式 时 , 校 验 位 的 值 是 通过 确保 每 个 字 
季 中 的 “1” 的 位 数 为 偶数 计算 得 出 的 
(2) mark: 多 选 一 选项 ， 指 定 采用 Mark 校 验 。 
采用 此 种 校 验方 式 时 ， 校 验 位 始终 为 1 
(3) none: 多 选 一 选项 ， 指 定 不 进行 校 验 ， 即 无 
校 验 位 
(4) odd: 多 选 一 选项 ， 指 定 采用 奇 校 验 。 采 用 
此 种 校 验方 式 时 , 校 验 位 的 值 是 通过 确保 每 个 字 
节 中 的 “1” 的 位 数 为 奇数 计算 得 出 的 
(5) space: 多 选 一 选项 ， 指 定 采 用 Space 校 验 。 
采用 此 种 校 验 方式 时 ， 校 验 位 始终 为 0 
缺 省 情况 下 ， 校 验 位 为 none， 那 不 进行 校 验 ， 
可 用 undo parity 命令 恢复 用 户 界 面 的 校 验 方式 
为 缺 省 的 none 方式 
设置 Console 用 户 界 面 的 停止 位 。 这 里 的 “停止 
位 ”是 用 来 间隔 不 同 字 符 数据 的 ， 仅 代表 时 阶 长 
度 。 命 令 中 的 选项 说 明 如 下 : 
(1) 1.5: 多 选 一 选项 ， 指 定 停止 位 为 1.5 位 ， 表 
示 停 止 位 占用 了 1.5 个 时 阶 位 。 此 时 下 一 步 的 数 
据 传 输 模式 配置 中 只 能 选择 5 位 

(2) 1; 多 选 一 选项 ， 指 定 停止 位 为 1 位 ， 表 示 
ee 停止 位 上 用 了 1 个 时 阶 位 。 此 时 下 一 步 的 数据 传 
例如 : [HUAWEI-ui-console0] stopbits 2 输 模式 配置 中 只 能 选择 7 位 或 8 位 
(3) 2: 多 选 一 选项 ， 指 定 停止 位 为 2 位 ， 表 示 
停止 位 占用 了 2 个 时 隙 位 。 此 时 下 一 步 的 数据 传 
输 模式 配置 中 可 选择 6 位 、7 位 或 8 位 
缺 省 情况 下 ,停止 位 为 1 位 。 可 用 undo stopbits 
命令 恢复 用 户 界面 停止 位 为 缺 省 的 1 位 , 对 应 数 
据 位 数 可 以 是 6、7、8 


parity { even | mark | none | odd | space } 
例如 : [HUAWEI-ui-console0] parity space 


设置 用 于 表示 数据 的 位 数 ， 也 即 数据 传输 模式 。 
四 个 多 选 一 选项 分 别 代表 数据 位 为 5 位 (用 5 位 
databits {5|6|7|8} 表示 数据 )、6 位 〈 用 6 位 表示 数据 )、7 位 (用 7 
例如 : [HUAWEI-ui-console0] databits 6 | 位 表示 数据 )、8 位 (用 8 位 表示 数据 )。 缺 省 情 
况 下 ， 数 据 位 数 为 8 位 ， 可 用 undo databits 命 
令 恢 复数 据 数位 为 缺 省 的 8 位 模式 








3.4.2 配置 Console 用 户 界面 的 终端 属性 





除了 可 配置 Console 用 户 界面 的 物理 属性 外 ， 还 可 配置 Console 用 户 界面 的 终端 属性 《也 就 是 终端 控制 
台 窗 口 属性 ) ， 包 括 用 户 超时 断 连 功能 、 终 端 屏幕 的 显示 行 数 或 列 数 以 及 历史 命令 缓冲 区 大 小 。 有 具体 配置 
步骤 如 表 3-6 所 示 ， 但 这 些 属性 均 为 可 选项 配置 ， 因 为 它们 都 有 自己 的 缺 省 值 。 











表 3-6 Console 用 户 界 面 终端 属性 的 配置 步 又 








命令 
system-view 
例如 : <HUAWEI> system-view 
user-interface console interfa- 
ce-number 进入 Console 用 户 界面 视图 , 参数 interface-number 用 来 指定 
例如 : [HUAWEH user-interface | Console 口 编号 ， 只 能 为 0 
console 0 





进入 系统 视图 

























设置 用 户 连 接 的 超时 时 间 ， 即 允许 用 户 连 接 闲置 的 最 长 时 
间 。 参 数 minutes [ seconds ] 分 别 用 来 指定 允许 闲置 连接 的 最 
idle-timeout minutes [seconds ] | 长 时 间 的 分 钟 〈《 取 值 范围 为 0 一 35 791 的 整数 ) 和 秒 数 ( 取 
例如 : [HUAWEI-ui-console0] | 值 范围 为 0 一 59 的 整数 )。 在 设 定 的 时 间 内 ， 如 果 连 接 始终 
idle-timeout 5 于 空 闪 状态 ， 系 统 将 自动 断 开 该 连接 
情况 下 ， 用 户 界面 的 最 长 连接 闲置 时 间 为 10min。 可 用 
undo idle-timeout 命令 恢复 超时 时 间 的 缺 省 值 
设置 终端 屏幕 每 屏 显示 的 行 数 。 参 数 screen-length 指定 终端 
屏幕 分 屏 显示 的 行 数 , 取 值 范围 为 0 一 512 的 整数 。 取 值 为 0 
时 表示 关闭 分 屏 功能 。 如 果 同 时 选择 可 选项 temporary， 则 
表示 指定 的 是 终端 屏幕 临时 显示 行 数 ， 下 次 登录 后 仍 恢复 为 
Screen-length screen-length 缺 省 值 
Pepper lO 【说 明 】 当 用 户 执行 茶 一 命令 的 输出 行 数 比较 多 ,用户 可 以 
例如 : [HUAWEI-ui-console0] 改变 终端 屏幕 每 屏 显 示 的 行 数 ， 以 便 查看 。 但 通常 情况 ， 
Screen-length 25 

无 需 调 整 终端 屏幕 每 屏 显 示 的 行 数 ， 且 不 推荐 设置 关闭 分 
屏 功 能 
缺 省 情况 下 ， 终 端 屏幕 显 示 的 行 数 为 24 行 ， 可 用 undo 
screen-length 命令 恢复 缺 省 设置 
设置 当前 终端 屏幕 显示 的 列 数 〈 每 个 字符 为 一 列 )， 取 值 范 
。 围 为 60 一 512 的 整数 。 该 命令 仅 对 display interface 
人 Screen-width | deseription 命令 的 输出 信息 生效 ， 且 只 对 当前 连接 有 效 ， 用 

1: [HUAWEI-ui-console0] 户 退出 后 不 保存 设置 

Screen-width 100 as pp 

缺 省 情况 下 ， 终 端 屏幕 显示 的 列 数 为 80 列 ， 可 用 undo 
screen-Wwidth 命令 恢复 缺 省 设置 

























( 续 表 ) 


history-command max-size size- | 设置 历史 命令 缓冲 区 大 小 ， 即 保存 的 历史 命令 的 条 数 ， 取 值 


value 范围 为 0 一 256。 缺 省 情况 下 , 用 户 界面 历史 命令 缓冲 区 大 小 
例如 : [HUAWEI-ui-console0] | 为 10 条 历史 命令 。 可 用 undo history-command max-size 命 
history-command max-size 20 | 令 恢 复 历 史 命令 缓冲 区 的 大 小 为 缺 省 值 











3.4.3 配置 Console 用 户 界面 的 用 户 优先 级 








可 以 配置 Console 用 户 界面 中 的 用 户 优 先 级 ， 以 实现 对 通过 Console 口 登录 交换 机 的 用 户 权限 控制 ， 增 
加 通过 Console 口 登录 交换 机 的 安全 性 。 

前 面 说 了 ， 华 为 VRP 系 统 中 的 用 户 优先 级 《也 即 用 户 级 别 ) 共 分 为 16 个 级 别 ， 级 别 标识 为 0 一 15， 标 识 
越 高 则 优先 级 越 高 。 用 户 的 优先 级 和 命令 的 优先 级 是 一 一 对 应 的 ， 即 用 户 只 能 使 用 等 于 或 低 于 自己 级 别 的 
命令 。 有 具体 可 参见 本 书 第 2 章 2.3.2 节 。Console 用 户 界 面 用 户 优先 级 的 配置 步骤 如 表 3-7 所 示 。 



































表 3-7 Console 用 户 界 面 用 户 优先 级 的 配置 步骤 





说 明 


system-view 
并 入 系统 视 医 
例如 : <HUAWEI> system-view | 进入 系统 视图 


User-interface console interfuce- 

number 进入 Console 用 户 界面 视图 , 参数 interface-number 用 来 指定 
例如 : [HUAWEIJ] user-interface | Console 口 编号 ， 只 能 为 0 

console 0 


























设置 Console 用 户 界 面 的 用 户 优 先 级 ， 取 值 范 围 为 0 一 15 的 
整数 。 缺 省 情况 下 ，S2700 和 S3700 系列 交换 机 的 Console 
用 户 界面 的 用 户 优先 级 为 15， 而 其 他 系列 交换 机 的 Console 
用 户 界面 的 用 户 优先 级 为 3 


user privilege level /eve/ pe 。 
例如 : [HUAWEI-ui-console0] |【 注 意 】 本 命令 的 用 户 优先 级 设置 仅 对 采用 密码 验证 方式 或 


user privilege level 15 者 不 验证 方式 通过 此 用 户 界 面 登 录 的 用 户 生 效 。 对 于 采用 
AAA 验证 方式 ， 如果 用 户 界 面 下 配置 的 用 户 优先 级 与 用 户 
名 本 身 所 配置 的 用 户 优先 级 (在 AAA 视图 下 配置 ) 相 冲 突 ， 
则 以 用 户 名 本 身 对 应 的 用 户 优先 级 为 准 





3.4.4 配置 Console 用 户 界 面 的 用 户 验 证 方式 


















































Console 用 户 界面 提供 




















tAAA 验 证 、 密 码 验证 和 不 验证 3 种 用 户 验证 方式 。 不 验证 是 指 ) 














即 可 通过 Console 用 户 界 





ni 








外 登录 交换 机 ， 但 此 种 验证 方式 没有 安全 保证 ， 


























行 用 户 名 验证 和 密码 验证 ) 或 密码 验证 方式 来 增加 交换 机 的 安全 性 。Console 用 户 界 面 的 ) 








j 户 无 需 通过 验证 














LE 议 配 置 AAA 验证 (要 求 同 时 进 






























































的 验证 方式 、 验 证 用 户 名 








【经 验 之 谈 】 这 里 要 特 另 











和 密码 。 











j 户 验证 方式 的 配 





置 步 又 如 表 3-8 所 示 ， 一 旦 配置 ， 将 对 所 有 通过 Console 口 登 录 交 换 机 的 用 户 生效 ， 所 以 一 定 要 记 住 所 配置 





























I 注意 的 是 ， 在 网 络 交 换 机 配置 中 会 涉及 许多 用 户 名 和 密码 ， 一 定 不 要 搞 混 ， 


当然 最 好 也 不 要 用 相同 的 用 户 名 和 密码 。 这 方面 ， 建 议 还 是 用 一 个 本 子 记 下 来 ， 保 存在 一 个 安全 的 地 方 ， 
否则 真 的 很 难 不 搞 混 ， 也 很 难保 证 不 忘记 。 

















表 3-8 Console 用 户 界面 的 用 户 验 证 方式 的 配置 步骤 











system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





十 
user-interface console interfa- 


ce-mumber 
例如 : [HUAWEI] user-interface 
console 0 


authentication-mode { aaa | 
password | none } 

例如 : [HUAWEI-ui-console0] 
authentication-mode aaa 


set authentication password 
[ cipher password ] 

例如 : [HUAWEI-ui-console0] 
set authentication password 


例如 : [HUAWEI-ui-console0] quit 


例如 : [HUAWEI] aaa 





进入 Console 用 户 界 面 视 图 , 参数 interface-number 用 来 指定 
Console 日 编号 ， 只 能 为 0 


设置 登录 Console 用 户 界 面 的 验证 方式 , 必须 配置 验证 方式 ， 
否则 下 次 用 户 无 法 成 功 登录 交换 机 。 当 用 户 首次 通过 Console 
口 登录 交换 机 时 终端 会 提示 设置 登录 密码 (参见 本 章 3.1.1 
节 第 5 步 ), 登录 交换 机 后 用 户 可 以 使 用 此 命令 重新 设置 验证 
方式 。 命 令 中 的 选项 说 明 如 下 。 

。aaa: 多 选 一 选项 ， 指 定 采 用 AAA 验证 方式 
。password; 多 选 一 选项 ， 指 定 采用 密码 验证 方式 

。 none: 多 选 一 选项 ， 指 定 不 进行 验证 

【说 明 】 当 配置 用 户 界面 的 验证 方式 为 password 时 ， 还 
需要 使 用 第 4 步 交 set authentication password 命令 配 
置 用 户 界 面 的 验证 密码 。 此 时 通过 Console 用 户 界 面 登 
孙 到 交换 机 的 用 户 所 能 访问 的 命令 级 别 由 登录 时 所 用 
的 Console 用 户 界 面 设置 的 所 对 应 的 级 别 决定 ， 参 见 
3.4.3 节 

当 配 置 用 户 界面 的 验证 方式 为 aaa 时 , 系统 将 清除 在 3.1.1 节 
第 5 步 为 切换 到 此 用 户 界面 所 配置 的 密码 ， 重 新 创建 登录 
用 户 名 ， 并 为 之 配置 好 账户 密码 。 和 登录 到 交换 机 的 用 户 所 
能 访问 的 命令 级 别 由 下 面 第 7 步 配 置 的 本 地 用 户 的 优先 级 
级 别 决 定 

训 省 情况 下 ，Console 用 户 界 面 采 用 不 验证 方式 ， 可 用 undo 
authentication-mode 命令 恢复 为 不 验证 方式 

(可 选 ) 设置 采用 密码 验证 方式 下 的 本 地 验证 密码 , 输入 的 密 
码 可 以 是 明文 或 密 文 。 仅 当 采 用 密码 验证 方式 时 需要 配置 ， 
但 如 果 已 通过 3.1.1 节 第 $ 步 设置 了 密码 , 则 不 用 再 通过 本 命 
令 设 置 了 

如 果 不 指 定 cipher password 可 选 参 数 时 , 将 采用 安 互 方式 输 
入 明文 密码 〈 输 入 的 密码 不 会 在 终端 屏幕 上 显示 出 来 )， 为 
6 一 16 个 字符 ， 区 分 大 小 写 ， 输 入 的 密码 至 少 包 含 以 下 几 种 
类 型 ， 大 写字 母 、 小 写字 母 、 数 字 及 特殊 字符 。 特 殊 宁 符 不 
能 包含 “? ”和 空格 ; 当 指定 cipher password 可 选 参数 时 ， 
虐 可 以 输入 明文 窗 码 也 可 以 输入 密 文 密码 ， 窗 文 密码 长 度 为 
56， 但 无 论 是 以 哪 种 方式 输入 ， 最 终 都 将 以 密 文 形式 保存 在 
配置 文件 中 

缺 省 情况 下 ， 设 备 没 有 设置 本 地 验证 的 密码 ， 可 用 undo set 
authentication password 命令 取消 配置 的 本 地 验证 密码 


退出 Console 用 户 界面 视图 


(可 选 ) 进入 AAA 视图 . 仅 当 采用 aaa 验证 方式 时 需要 配置 





说 明 

(可 选 ) 配置 用 于 AAA 验证 的 本 地 用 户 名 、 密 码 和 用 户 优先 
级 。 仅 当 采 用 aaa 验证 方式 时 需要 配置 。 命 令 中 的 参数 说 明 
如 下 。 

(1) user-name: 用 来 配置 本 地 用 户 的 用 户 名 ， 为 1 一 64 个 字 
符 ， 不 支持 空格 ， 不 区 分 大 小 写 。 如 果 用 户 名 中 带 域名 分 隔 
符 ， 则 认为 @ 前 面 的 部 分 是 用 户 名 ， 后 面部 分 是 域名 。 如 果 
local-user user-name 《 passw- 没有 @， 则 整个 字符 串 为 用 户 名 ， 域 为 缺 省 域 

ord cipher password lprivilege | (2) password: 可 多 选项 ， 指 定 本 地 用 户 登 录 密 码 ， 可 以 是 








evel/ yen} ~ 明文 或 密 文 密码 ， 明 文 密码 的 长 度 为 1 一 16 个 字符 ， 不 支持 
例如 : [HUAWELaaa] local- 、 单 引号 和 问号 ， 区 分 大 小 写 ， 密 文 密码 的 长 度 为 32 


user winda password cipher 字符 。 但 无 论 是 中 


huaweil23 privilege level 5 A 
Wi 式 保存 在 配置 文件 中 


(3) level: 可 多 选项 ， 指 定 所 配置 的 本 地 用 户 的 用 户 优先 级 ， 
取 值 范围 为 0 一 15 
缺 省 情况 下 ， 没 有 创建 本 地 用 户 、 密 码 和 用 户 优 先 级 ， 
可 用 undo local-user user-name 命令 删除 对 应 的 本 地 用 
户 账 户 
(可 选 ) 配置 AAA 验证 方式 下 的 本 地 用 户 的 接 入 类 型 为 
于 usersname service-type | Console 用 户 。 仅 当 采 用 aaa 验证 方式 时 需要 配置 
缺 省 情况 下 ， 本 地 用 户 可 以 使 用 所 有 的 接 入 类 型 ， 可 使 用 


例如 : [HUAWEI-aaa] local- Be a 
, ly al- ice-ty 令 用 来 将 本 地 用 户 的 接 入 类 
i terminal | undo local-user service-type 命令 用 来 将 本 地 
a 型 恢复 为 缺 省 配置 


【示例 1】 交 互 式 设置 用 户 界面 Console 的 本 地 验证 密码 为 huawei2012。 
<HUAWEI>system-view 
[HUAWEI] user-interface console0 
[HUAWEI-ui-console0] set authentication password 


文 还 是 密 文 方式 输入 的 密码 均 以 密 文 方 












































Please configure the login password (6-16) 
Enter Password: 
Confirm Password: 
[HUAWEI-ui-console0] 
【示例 2】 设置 用 户 界面 Console 的 本 地 验证 密码 为 密 文 密码 (cipher 模式 下 输入 明文 密码 设备 将 以 密 文 
方式 保存 和 显示 。 注 意 不 能 直接 手动 输入 密 文 ， 但 可 以 复制 粘贴 方式 输入 ) 。 
<HUAWEI>system-view 
[HUAWEI] user-interface vty 0 4 
[HUAWEI-ui-console0] set authentication password cipher 
%$W%$A4VZtGW%zew/=BWR.$gl=O0$@7.F8#~<$p,B"bH:)7Y ~.(B{F=8%$%$ 
[HUAWEI-ui-console0] 
【示例 3】 创 建 一 个 用 于 AAA 验 证 的 本 地 用 户 user1， 域 名 为 vipdomain， 用 户 密码 是 admin@12345， 并 
间 定 以 密 文 形式 显示 。 
<HUAWEI>system-view 
[HUAWEI] aaa 
[HUAWEI-aaa] local-user userl@vipdomain password cipher admin(@12345 





















































3.4.5 Console 用 户 界面 管理 














在 交换 机 管理 中 对 用 户 和 用 户 界面 的 管理 是 一 项 非常 重要 的 工作 。Console 用 户 界 面 配置 完成 后 ， 可 执 
行 下 面 的 display 命令 查看 当前 交换 机 上 已 登录 的 用 户 和 所 使 用 的 用 户 界 面 ， 以 及 当前 交换 机 上 已 配置 的 本 
地 用 户 信息 ;可 执行 下 面 的 kill 命令 断 开 与 指定 用 户 界面 连接 的 用 户 。 

(1) 使 用 display users [all ] 命令 查看 所 有 通过 用 户 界 面 〈 包 括 通过 VTY 用 户 界 面 ) 登录 过 的 用 户 信 































































































































































































息 ， 包 括 当 前 未 连接 的 用 户 。 











(2) 使 有 








验证 方式 等 。 





于 查看 通过 VTY 


令 不 








(3) 使 用 





display local-user 






































(4) 使 用 




















可 对 当前 用 





VTIY 用 户 界面 去 操作 。 





2 











8.5 VTY) 


] 户 界 本 











i 连接 的 本 地 
kill user-interface 0 或 kill user-interface console 0 命令 
接 。 当 发 现 有 非法 用 户 通过 Console 用 户 登 录 交 换 机 时 就 可 以 使 用 该 命 
户 进行 操作 ， 也 就 是 要 你 要 









































当然 本 命令 也 可 | 


于 下 






























































日 户 界面 配置 与 管理 














拟 通道 实现 的 ， 而 且 可 以 建立 多 条 VTY 虚 拟 通道 。 当 用 户 通 过 Telnet 或 SH 方式 登录 
全 护 时 ， 可 以 根据 用 户 使 用 需求 以 及 对 交换 机 安全 的 考虑 配置 VTY 用 户 界 面 。 同 样 ， 以 下 配 
格 的 先后 顺序 ， 仅 为 方便 


NSS 














3.5.1 


VTY 是 个 虚拟 用 户 界面 























， 它 不 像 Console 用 户 界面 那样 通过 物理 连接 实现 的 ， 而 是 通过 网 络 连接 建立 虚 








二 
田 














四 即将 介绍 的 VTY 用 户 界 面 
有 kill user-interface { ui-number | vty ui-numberl } 命 令 ， 二 选 一 参数 ui-number 用 来 指定 对 应 VTY 界面 的 绝 


对 编号 ， 二 选 一 参数 ui-numberl 用 来 指定 对 应 VTY 


























上 晰 Console 用 户 界 面 的 


上 断 开 指定 VTY/ 








jdisplay user-interface console ui-number [ summary ] 命令 查看 指定 Console 用 户 界 醒 


括 用 户 界面 的 绝对 和 相对 编号 、 传 输 速率 、 是 否 通 过 Modem 拨号 连接 、 配 置 的 用 
































命令 查看 交换 机 上 已 配置 的 所 有 本 地 用 户 列表 摘要 信息 。 
ba 
断 开 与 指定 的 Console 


户 级 别 、 实 际 用 



































本 





分 -人 
命令 


同样 可 用 














j 户 界面 藤 






































令 强 行 断 开 指定 | 
] 户 连接 ， 必 须 使 / 

















] 户 的 连接 。 但 



































] 其 他 用 











户 界面 ， 



































户 界 对 


j 的 相对 编号 。 











j 户 界 








外 的 用 户 连 接 。 








此 时 要 使 















































述 和 理解 采用 步骤 方式 介绍 。 








配置 VTY 用 户 界 




















而 的 最 大 个 数 











VTY 是 一 个 虚拟 界 务 


























number 命 令 配置 即 可 ， 取 值 范围 为 0 一 15 个 ， 缺 省 值 为 5。 当 配置 VTY 用 户 界 | 











|， 同一 时 间 可 以 打开 多 个 VTY 界 








交换 机 实现 本 地 或 远程 


































































































可 以 配置 同时 


登录 到 交换 机 的 VTY 类 型 


j 户 同时 连接 在 交换 




















置 内 容 没 有 严 


上 (Console 
































] 户 界 本 


i 的 最 大 个 





的 限制 。VTY 用 户 界面 最 大 个 数 是 指 登录 交换 机 的 Telnet 用 户 和 SSH 用 户 〈 如 采 


用 户 界 面 同一 时 间 只 能 允许 一 个 用 户 连接 )。 
数 ， 实 现 对 并 发 登录 用 户 数 
用 STelnet 方 式 登 录 的 用 户 ) 的 总 和 。 








VTY 用 户 界面 最 大 个 数 的 配置 方法 很 简单 ， 仅 需 在 系统 视图 下 通过 user-interface maximum-vty 


















































(包括 网 管用 户 ) 都 无 法 通过 VTY 登 录 到 交换 机 ， 一 定 要 小 心 ! 


要 配 


支持 5 个 用 户 ) ， 就 必须 为 新 增加 的 用 户 界 面 配置 验 说 
【示例 】 配 置 VTY 


3.5.2 


a 
注 就 























如 果 要 配置 的 VTY 类 型 上 











置 的 VTY 类 型 用 户 界 面 的 最 大 个 数 大 于 当前 最 多 可 以 登录 用 























] 户 界 























外 的 最 大 个 数 小 于 当前 在 线 / 












































j 户 界 国 


i 最 大 数目 














<HUAWEI > system-view 








为 10 个 。 


[HUAWEI] user-interface maximum-vty10 











配置 VTY 用 户 界 














面 的 基于 ACEL 的 登录 限制 


























可 以 通过 访问 控制 列表 (ACL) 实现 对 通过 VTY 用 户 界 面 的 登录 进 
置 方 法 参见 本 书 第 9 章 相 关内 容 。 在 配置 VTY 

















H 





j 户 的 数量 ， 贝 


























户 的 数量 《 


方式。 






































j 户 界 十 

















行 限制 ， 有 关 ACL 的 详细 介绍 及 配 
[的 登录 限制 前 ， 需 要 先 在 系统 视图 下 执行 adl 命 令 创 建 





最 大 个 数 为 0 时 ， 任 何 用 户 


I 系统 提示 配置 失败 ， 如 果 
前 华为 S 系列 交换 机 都 最 多 























一 个 访问 控制 列表 并 进入 ACL 视 图 











， 然 后 执行 rule 命 令 增加 相应 访问 控制 列表 的 规则 。 














用 户 界 面 支持 通过 基本 ACL (2000 一 2999) 来 限制 源 卫 地 址 ( 即 访问 用 户 的 主机 或 网 段 IP 地 址 ) ， 支 


持 高 级 ACL (3000~3999) 
目的 端口 等 。 通 过 ACL 限 站 


















































以 下 规则 。 


(1) 当 ACL 的 规则 配置 为 permit (人 允许) 时 : 











Q@ 如 果 该 ACL 应 用 在 inbound (入 ) 方向 ， 则 允许 指定 源 全 地 址 的 














其 他 交换 机 访问 本 1 











同时 限制 源 IP 地 址 和 目的 IP 地 址 (要 访问 的 主机 或 网 段 IP 地 址 )， 以 及 源 端口 和 
央 VTY 用 户 界 面 登录 时 采 





地 交换 机 。 





@ 如 果 该 ACL 应 用 在 outbound (出 ) 方向 ， 则 人 允许 本 地 交换 机 访问 指定 源 卫 地 址 的 其 他 交换 机 。 


(2) 











当 ACL 的 规则 配置 为 deny ( 








E 绝 ) 时 : 








Q@ 如 果 该 ACL 应 用 在 inbound 方向 ， 则 拒绝 其 他 交换 机 访问 本 地 交换 机 。 
@ 如 果 该 ACL 应 用 在 outbound 方向 ， 则 拒绝 本 地 交换 机 访问 其 他 交换 机 。 

















(3) 





























当 ACL 未 配置 规则 时 : 


QD 如 果 该 ACL 应 用 在 inbound 方向 ， 则 允许 任何 其 他 交换 机 访问 本 地 交换 机 。 
人 @ 如 果 该 ACL 应 用 在 outbound 方向 ， 则 允许 本 地 交换 机 访问 任何 其 他 交换 机 。 












































通过 ACL 限 制 VTY 














户 界 对 








步骤 























j 登 录 的 具体 配置 步 又 如 表 3-9 所 示 。 





表 3-9 通过 ACL 限 制 VTY 用 户 界面 登录 的 配置 步骤 














说 明 





system-view 
例如 : <HUAWEI> system- 
View 


进入 系统 视图 





user-interface vty first-ui- 
number [ last-ui-number ] 
例如 : [HUAWEI] user- 
interface vty 0 3 








进入 指定 的 VTY 用 户 界 面 视 图 。 命 令 中 的 参数 说 明 如 下 : 

(1) first-ui-number: 欲 配置 的 第 一 个 VTY 用 户 界面 ， 取 值 范围 
为 0 至 3.5.1 节 配置 的 最 大 VTY 用 户 界 面 编号 

(2) last-ui-number: 可 选 参数 ， 指 定 配置 的 最 后 一 个 用 户 界 面 
编号 。 选 择 此 参数 ， 将 同时 进入 多 个 用 户 界 面 视图 。 
last-ui-number 的 取 值 要 比 first-ui-number 取 值 大 。 如 果 


first-ui-number 参数 的 取 值 已 为 所 配置 的 VTY 用 户 界 面 最 大 值 ， 


则 不 能 再 选择 本 可 选 参数 





【示例 1】 进 入 VTY 1 用 户 界 面 。 





acl acl-number { inbound | 
outbound } 

例如 : [HUAWEI-ui-vty0-3] 
acl 2000 inbound 





























<HUAWEI>system-view 
[HUAWEI] user-interface vty 1 


[HUAWEI-ui-vty1] 





配置 VTY 用 户 界面 的 基于 ACL (要 事先 配置 好 ACL 列表 ) 的 登录 
(包括 呼 入 和 呼出 两 个 方向 ) 限制 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1)acl-number 用 来 指定 要 应 用 的 ACL 号 , 取 值 范围 为 2000 一 3999 
(2) inbound: 二 选 一 选项 ， 表 示 对 用 户 界面 的 呼 入 进行 限制 ， 

即 限制 某 个 地 址 或 地 址 段 的 用 户 登 录 到 本 地 交换 机 

(3) outbound: 二 选 一 选项 ， 表 和 示 对 用 户 界 面 的 呼出 进行 限制 ， 
即 限制 已 经 登录 的 用 户 登 录 到 其 他 交换 机 

扎 省 情况 下 , 不 对 呼 入 、 呼出 进行 限制 , 可 用 undo acl { inbound 
| outbound } 命令 取消 当前 配置 





【示例 2】 进 入 VTY 1~VTY 3 多 个 用 户 界 面 。 
<HUAWEI>system-view 
[HUAWEI] user-interface vty 1 3 
[HUAWEI-ui-vty1-3] 


( 续 表 ) 




















【示例 3】 在 VTY 0 用 户 界面 上 限制 Telnet 用 户 对 本 地 交换 机 的 连接 。 
<HUAWEI>system-view 
[HUAWEI] user-interface vty 0 
[HUAWEI-ui-vty0] acl 2000 inbound 

【示例 4】 在 VTY 0 用 户 界面 上 取消 对 Telnet 用 户 连 接 其 他 交换 机 的 限制 。 
<HUAWEI>system-view 
[HUAWEI] user-interface vty 0 
[HUAWEI-ui-vty0] undo acl outbound 













































































3.5.3 配置 VTY 用 户 界面 的 终端 属性 

















与 配置 Console 用 户 界面 终端 属性 一 样 ， 也 可 以 配置 VTY 用 户 界 面 的 终端 属性 ， 包 括 月 
屏幕 的 显示 行 数 或 列 数 以 及 历史 命令 缓冲 区 的 大 小 。 有 具体 配置 步骤 如 表 3-10 所 示 


能 、 终 端 






































































































































日 户 超时 断 连 功 
。 对 比 表 3-6 可 以 


看 出 ， 本 节 介 绍 的 VTY 用 户 界 面 终端 属性 配置 与 这 Console 用 户 界面 终端 属性 配置 基本 一 样 。 


























表 3-10 VTY 用 户 界面 终端 属性 的 配置 步 又 




















































说 明 


system-view 进 ne 
加 例如 : <HUAWEI> system-view 进入 系统 视图 


user-interface vty first-ui-number 
[last-ui-number ] 

例如 : [HUAWEI] user-interface 
vty03 






进入 指定 的 VTY 用 户 界面 视图 ， 其 他 参见 表 3-9 中 的 第 2 
步 说 明 












(可 选 ) 开启 终端 服务 ， 人 允许 用 户 通过 此 界面 输入 命令 ， 对 交 
换 机 进行 查询 、 配 置 等 操作 。 但 Console 用 户 界 面 不 支持 该 命 
令 ， 因 为 它 始终 开启 终端 服务 ， 不 需要 另外 开启 ， 也 不 能 关闭 
缺 省 情况 下 ， 在 所 有 的 用 户 界面 上 启动 终端 服务 ， 可 用 undo 
shell 命令 关闭 终端 服务 ， 不 允许 用 户 通 过 此 界面 对 交换 机 进 
行 操作 。 但 在 VTY 视图 下 配置 undo shell 命令 后 ， 则 此 用 户 
界面 不 提供 Telnet、STelnet 和 SFTP 接 入 服务 ， 一 定 要 谨慎 











shell 
例如 : [HUAWEI-ui-vty0-3] shell 





( 续 表 ) 


命令 


说 明 





idle-timeout minutes [ seconds ] 
例如 : [HUAWEI-ui-vty0-3] idle- 
timeout 20 

reen-length screen-length 
[temporary ] 

: [HUAWEI-ui-vty0-3] screen- 
th 30 


设置 用 户 连 接 的 超时 时 间 ， 即 允许 用 户 连 接 闲置 的 最 长 时 
间 ， 其 他 参见 表 3-6 中 的 第 3 步 说 明 


设置 终端 屏幕 每 屏 显示 的 行 数 ， 其 他 参见 表 3-6 中 的 第 4 
步 说 明 





en-width screen-length 

: [HUAWEI-ui-vty0-3] screen- 
width 100 

istory-command max-size size- 
value 
例如 : [HUAWEI-ui-vty0-3] history- 
command max-size 20 








设置 当前 终端 屏幕 显示 的 列 数 (每 个 字符 为 一 列 ), 其 他 参 
见 表 3-6 中 的 第 5 步 说 明 


设置 历史 命令 缓冲 区 大 小 ， 即 保存 的 历史 命令 的 条 数 ， 其 
他 参见 表 3-6 中 的 第 6 步 说 明 





protocol inbound { all | ssh | 
telnet } 

例如 : [HUAWEI-ui-vty0-3] protocol 
inbound all 


配置 VTY 用 户 界面 支持 呼 入 连接 协议 。 命 令 中 的 选项 说 明 
如 下 : 

(1) all: 多 选 一 选项 ， 指 定 VTY 类 型 用 户 界面 支持 所 有 
的 协议 ， 包 括 Telnet 和 SSH 

(2)ssh: 多 选 一 选项 , 指定 VTY 类 型 用 户 界面 仅 支 持 SSH 
协议 

(3) telnet: 多 选 一 选项 ， 指 定 VTY 类 型 用 户 界面 仅 支 持 
telnet 协议 

缺 省 情况 下 ， 用 户 界面 支持 的 协议 是 Telnet， 可 用 undo 
protocol inbound 命令 恢复 VTY 类 型 用 户 界 面 支持 缺 省 的 








Telnet 协议 
【示例 】 设 置 在 虚拟 终端 (VTY)〉 0 到 4 上 终止 终端 服务 。 

<HUAWEI>system-view 

[HUAWEI] user-interface vty0 4 

[HUAWEI-ui-vty0-4] undo shell 

Warning: ui-vty0-4 will be disabled. Continue? [Y/N]:y 




















3.5.4 配置 VTY 用 户 界面 的 用 户 优 先 级 


























与 3.4.3 节 介绍 的 可 以 配置 Console 用 
对 不 同 用 








户 界 
























































一 15， 标 识 越 高 则 优先 级 越 高 。 用 户 的 优先 级 和 命令 的 优先 级 是 相对 应 的 ， 即 


己 级 别 的 命令 。 
VTY 用 户 界 盏 




















| 优先 级 的 配置 方法 也 与 表 3-7 中 介绍 的 Console 用 户 























用 优先 级 一 样 ， 也 可 以 配置 VTY 
户 访问 交换 机 权限 的 限制 ， 增 加 交换 机 管理 的 安全 性 。 用 户 的 优先 级 分 为 16 个 级 别 ， 级 别 标识 为 0 














j 户 界面 的 ) 





j 户 优先 级 ， 实 现 

















Ah 
于 J 


























用 户 只 





使 用 





或 低 于 自 


台 忆 
He 








界面 优先 级 配置 方法 基本 一 样 ， 只 是 所 




















在 的 用 户 界 面 视图 不 一 样 ， 要 在 第 2 步 中 使 用 user-interface vty first-ui-number [ last-ui-number ] 命令 进入 对 
































应 的 VTY 用 户 界面 ， 然 后 进行 第 3 步 的 用 户 界 























面 优先 级 配置 。 缺 省 情况 下 ，VTY/ 




















j 户 界面 对 应 的 缺 省 命令 


























访问 级 别 是 0《〈 即 最 低 的 访问 级 ， 仅 具有 浏览 权限 ) 。 如 果 用 户 界 








看 下 配置 的 用 户 优先 级 与 用 户 名 本 身 对 














应 的 用 户 优先 级 〈 在 AAA 视图 下 配置 ) 冲突 ， 以 为 对 应 用 户 配置 的 
Zs 

















3.5.5 配置 YTY 用 户 界面 的 用 户 验 证 方式 
































用 户 级 别 为 准 








具体 命令 说 明 参 见 表 3- 








o 
| 
4 

















与 3.4.4 节 介绍 的 Console 用 户 界 面 验 证 方式 一 样 ，VTY 用 户 界 面 也 提供 AAA 验证 、 密 码 验证 和 不 验证 3 














种 用 户 验证 方式 。 不 验证 是 指 用 户 无 需 通过 验证 即 可 通过 VTY 用 户 界 




















保证 。 建 议 配 置 AAA 验证 或 密码 验证 方式 来 增加 交换 机 管理 的 安全 

















看 登录 到 交换 机 ， 此 种 方式 没有 安全 


o 














性 
































VTY 用 户 界 盏 














| 的 用 户 验 证 方式 的 配置 方法 与 3.4.4 节 介绍 的 Consolej 

















] 户 界面 的 用 户 验 证 方式 的 配置 方法 








Esme 


























也 基本 一 样 ， 只 是 所 在 的 用 户 界 面 视图 不 一 样 ， 要 在 表 3-8 中 的 第 2 步 
ji。 另外， 在 表 3-8 第 8 步 中 要 使 用 




















last-ui-number ] 命令 进入 到 对 应 的 VTY 用 户 界 国 




















使 








juser-interfacevty first-ui-number [ 


Mo 














local-user user-name 

















































































































service-type { telnet | ssh } 命 令 配置 VTY 用 户 界 面 
见 3.4.4 节 的 表 3-8 中 的 配置 。 
3.5.6 VTY 用 户 界面 管理 
VTY 用 户 界面 配置 完成 后 ， 请 执行 下 面 的 display 任意 视图 命令 检查 配置 结果 





































































































o 


支持 的 服务 类 型 ， 这 里 要 选择 Telnet 或 者 SSH 服 务 。 其 他 参 



























































































































































(1) 使 用 display users [all ] 命令 查看 包括 每 个 VTY 用 户 界 面 下 的 用 户 登录 信息 。 也 就 是 可 以 查看 当前 
有 哪些 用 户 连接 在 交换 机 上 。 

(2) 使 用 display user-interface maximum-vty 命令 查看 当前 配置 (在 3.5.1 节 配置 ) 的 VTY 类 型 用 户 界 

四 的 最 大 个 数 。 

(3) 使 用 display user-interface vty ui-number1 [ summary ] 命令 查看 指定 的 用 户 界面 信息 

(4) 使 用 display local-user 命令 查看 本 地 交换 机 上 配置 的 所 有 本 地 用 户 的 属性 信息 。 

(5) 使 用 display vty mode 命令 查看 VTY 模 式 ， 分 “< 人 机 模式 ”(Human-Machine Mode， 即 人 机 交互 模 
式 ) 和 “机 机 模式 ”(Machine-Machine Mode， 即 机 机 交互 模式 〉 两 种 。 本 命令 S2700 和 S3700 系 列 交 换 机 不 
文 持 。 

3.6 用 户 登 录 配 置 与 管理 





























介绍 了 用 户 界面 的 基本 属性 配置 方法 后 ， 就 要 正式 介绍 用 户 通 过 这 些 用 户 界面 登录 华为 S 系 列 交 换 机 的 


配置 方法 了 。 
远程 的 交换 机 配置 与 管理 。 











这 里 所 说 的 “ 


































































































的 网 络 连接 ， 以 便 实现 文件 管 型 

















3.6.1 





] 户 登录 概述 








Telnet) 或 者 Web 方 式 登录 本 交 




















在 华为 $ 系 列 交 换 机 中 ， 当 交换 机 作为 服务 器 时 ， 用 户 可 以 通过 Console 口 、 
换 机 。STelnet 登 录 方 式 也 称 SSH 















































j 户 登录 ?是 指 登录 到 华为 系列 交换 机 的 VRP 系 统 ， 通 过 终端 软 
它 与 本 章 后 面 介 绍 的 用 户 访问 是 不 同 的 ， 用 户 访 问 是 指 通 过 软 伯 
E 《不 能 进行 交换 机 配置 〉。 





牛 实现 本 地 或 者 























建立 与 交换 机 


Telnet、STelnet (安全 
(Secure Shell， 安 全 外 壳 ) 登录 方式 ， 是 基 





于 SSH 人 协议 进行 的 。 当 交换 机 作为 客户 端 时 ， 可 以 从 本 交换 机 通过 Telnet 或 STelnet 方式 登录 其 他 交换 机 ， 




















实现 对 网 络 上 
界 理 
1. 命令 行 登录 方式 


通过 Console 口 、 
换 机 进行 配置 与 管理 。 

















其 他 交换 机 的 管理 和 维护 。 
登录 到 S 系 列 交 换 机 VRP 系 统 的 配置 方法 。 














大 






































Telnet 或 STelnet 方 式 登 录 交 换 机 后 ， 可 以 使 ) 





















































命令 行 月 








表 3-11 三 利 











篇 幅 原因 ， 本 章 仅 介 绍 交 换 机 作为 各 种 服务 器 ， 用 户 通过 用 户 











] 交 换 机 提供 的 VRP 系 统 命令 行 界面 对 交 




















bp 人 他 


命令 行 登录 方式 的 比较 





这 三 种 登录 方式 都 属 命令 行 登录 方式 ， 需 要 配置 相应 登录 方式 的 用 户 界面 。 这 三 种 
有 户 登 录 方 式 的 比较 如 表 3-11 所 示 。 


优点 应 用 场景 

当 对 交换 机 进行 第 一 次 配 
置 时 ， 可 以 通过 Console 
口 登录 交换 机 进行 配置 ; 

当 用 户 无 法 进行 远程 登录 | 通过 Console 口 进行 本 地 登录 
交换 机 时 , 可 通过 Console | 是 登录 交换 机 最 基本 的 方式 ， 

口 进行 本 地 登录 ; 当 交 换 | 也 是 其 他 登录 方式 的 基础 

机 无 法 启动 时 ， 可 通过 
Console 口 进 入 BootROM 
进行 诊断 或 系统 升级 





使 用 专门 的 

通过 Console 通信 

Console 电缆 连接 ， 保 

口 登录 证 可 以 对 交换 
机 有 效 控制 


不 能 远 
程 登 录 
维护 交 
换 机 





缺 省 情况 下 ， 用 户 不 能 通过 
Telnet 方式 直接 登录 交换 机 。 
如 果 需 要 通过 Telnet 方式 登录 
交换 机 ， 可 以 先 通 过 Console 
终端 连接 到 网 络 上 ， 使 用 | 口 本 地 登录 交换 机 ， 并 完成 以 
Telnet 方式 登录 交换 机 ， 下 配置 。 

进行 本 地 或 远程 的 配置 。 | (1) 确保 终端 和 登录 的 交换 机 
都 连接 一 个 应 用 在 对 安全 性 要 求 不 高 | 之 间 路 由 可 达 〔 缺 省 情况 下 ， 
终端, 极 大 地 | 安 ' 全 隐 | 的 网 络 交换 机 上 没有 配置 IP 地 址 ) 
方便 了 用 户 | 守 (2) 配置 Telnet 服务 器 功能 及 
的 操作 人 参数 
(3) 配置 Telnet 用 户 登录 的 用 
户 界面 
矶 省 情况 下 ， 用 户 不 能 通过 
STelnet 方式 直接 登录 交换 机 。 
STelnet 协议 如 果 需 要 通过 STelnet 方式 登 
实现 在 不 安 -Ar | 录 交 换 机 , 可 以 先 通过 Console 
Sn 如 果 网 络 对 于 安全 性 要 求 | 口 本 地 登录 或 Telnet 远程 登录 
供 安全 的 远 de 交换 机 ， 并 完成 以 下 配置 。 
程 登录 , 保证 | 配置 较 et (1) 确保 终端 和 登录 的 交换 机 
了 数据 的 完 | 复杂 的 信息 保障 和 强大 验证 功 | 之 问 路 由 可 达 《〈 缺 省 情况 下 ， 
整 性 和 可 靠 me 交换 机 上 没有 配置 IP 地 址 ) 
rd t, pe n 1 pt 了 LT 几 各 
Ph 骗 和 明文 密码 截取 等 攻击 人 STelnet 服务 器 功能 
输 (3) 配 置 SSH 用 户 登 录 的 用 户 
界面 

(4) 配置 SSH 用 户 


便于 对 交换 
机 进行 远程 
管理 和 维护 ， 
不 需要 为 每 
一 台 交 换 机 


传输 过 
程 采用 
TCP 协 
议 进行 
明文 传 
输 , 存在 


Telnet 登录 











Stelnet 
登录 














2. Web 网管 登录 方式 

通过 HTTP 或 HTTPS 方 式 登录 交换 机 时 ， 因 为 交换 机 内 置 了 一 个 Web 服 务 器 ， 所 以 用 户 可 以 从 终端 (如 
PC 机 ) 通过 Web 浏 览 器 登录 到 交换 机 ， 使 用 交换 机 提供 的 图 形 界面 直观 地 管理 和 维护 交换 机 。 这 两 种 登录 
方式 都 属 Web 网 管 登录 方式 ， 但 必须 要 确保 交换 机 上 已 经 加 载 了 对 应 版 本 的 Web 网 页 文件 。 

注意 

Web 网 管 方式 虽然 是 通过 图 形 界面 直观 地 管理 交换 机 ， 便 于 用 户 操作 ， 但 目前 所 能 提供 的 仅 是 对 交换 
机 日 常 维护 及 管理 的 基本 功能 ， 如 果 需 要 对 交换 机 进行 较 复杂 或 精细 的 管理 ， 仍 然 需要 使 用 命令 行 方式 。 

HTTPS 登 录 方 式 是 将 HTTP 和 SSL 结 合 ， 通 过 SSL 对 服务 器 身份 进行 验证 ， 对 传输 的 数据 进行 加 密 ， 从 
而 实现 了 对 交换 机 的 安全 管理 。 而 HITP 协 议 本 身 不 能 对 Web 服 务 器 的 身份 进行 验证 ， 所 以 当 通 过 HTTP 方 
式 登 录 交 换 机 时 存在 很 大 的 安全 隐患 。 为 了 解决 这 一 问题 ， 在 华为 VRP 系 统 通过 HTTP 方 式 登录 的 过 程 中 ， 
传输 的 用 户 名 和 密码 也 必须 使 用 HTTPS 安 全 协议 。 两 种 web 网 管 登录 方式 的 比较 如 表 3-12 所 示 。 


















































































































































































































































表 3-12 两 种 Web 网 管用 户 登 录 方 式 比较 








登录 方式 相同 点 


不 同 点 


说 明 





都 需要 加 载 
SSL 证 书 , 用 于 
登录 交换 机 时 
的 身份 验证 。 配 
置 几乎 相同 ( 差 
别 见 不 同 点 ) 


HTTPS 
方式 


登录 地 址 为 http:/7P， 
当 用 户 请 求 登录 页 面 
时 , 会 重 定向 到 HTTPS 
登录 页 面 (https:W7P)， 
用 户 登 录 成 功 后 ， 再 跳 
转 到 HTTP 页 面 ， 后 续 
的 数据 交互 仍 使 用 
HTTP 协议 。 在 使 能 
HTTP 服务 前 ， 必 须要 
先 使 能 HTTPS 服务 








登录 地 址 为 https:/P， 
登录 成 功 后 ， 通 过 SSL 
对 数据 进行 加 密 ， 安 全 


如 果 需 要 通过 HTTP 或 HTTPS 方式 登录 交 
换 机 ， 需 要 完成 以 下 配置 。 

(1) 确保 已 加 载 了 Web 网 页 文件 。 

(2) 配置 HTTP/HTTPS 服务 和 HTTP 用 户 
( 缺 省 情况 下 ，HTTP 及 HTTPS 服务 功能 未 
使 能 , 交换 机 提供 缺 省 的 HTTP 用 户 的 用 户 
名 为 admin， 密 码 为 admin) 

【说 明 】 缺 省 情况 下 ，Web 网 页 文件 中 已 经 
包含 了 SSL 证 书 ， 当 网 页 文件 被 加 载 后 ， 
用 户 无 需 进行 相应 的 SSL 策略 的 配置 ( 交 
换 机 有 缺 省 的 SSL 策略 ) 。 当 然 ， 也 可 以 从 
CA (Certificate Authority) 处 重新 获取 数字 








说 明 


性 更 高 。 仅 需 使 能 


证 书 ， 然 后 进行 手动 配置 SSL 策 
HTTPS 服务 有 Nd 























因 本 地 的 Console 登录 方式 已 在 本 章 3.1 节 有 详细 介绍 ， 故 不 再 袭 述 ， 下 1 











帮 仅 介 绍 Telnet、STelnet 或 者 



































Web 这 几 种 远程 登录 方式 的 配置 方法 。 


3.6.2 























配置 用 户 通过 Telnet 登 录 交 换 机 





Telnet 协 议 在 TCP/IP 协 议 族 中 





属于 应 用 层 协议 ， 通 过 网 络 提供 远程 登录 和 虚拟 终端 功能 。 以 服务 器 / 客 


户 端 (Server/Client) 模式 工作 ，Telnet 客 户 端 向 Telnet 服 务 器 发 起 请 求 ，Telnet 服 务 器 提供 Telnet 服 务 。 在 通 
过 Telnet 登 录 交 换 机 的 过 程 中 ， 交 换 机 是 作为 Telnet 服 务 器 ， 当 然 交 换 机 也 可 作为 Telnet 客 户 端 向 其 他 Telnet 


服务 


如 下 


户 界 


个 人 
命令 


(也 


Telnet 服 务 ， 


行 本 





器 (如 其 他 交换 机 、 路 
1. 配置 任务 











o 





由 器 等 交换 机 ) 发 起 连接 。 


在 配置 用 户 通过 Telnet 登 录 交 换 机 之 前 ， 需 确保 终端 与 交换 机 之 间 路 由 可 达 。 其 他 Telnet 登 录 配 置 任务 








(1) 配置 Telnet 服 务 器 功能 和 参数 : 包括 使 能 Telnet 服 务 器 功能 和 Telnet 服 务 器 参数 配置 。 








(2) 配置 Telnet 用 
面 属性 ， 包 括 VTY] 
本 项 配置 




















户 界 对 























z 








可 以 采用 其 他 验证 方式 ) 。 





(3) 配置 Telnet 类 型 的 本 地 用 户 AAA 验 证 方式 : 包括 配置 验证 方式 为 AAA 时 的 | 
1 体 参 见 本 章 3.5.5 节 介绍 。 如 果 采 | 


























项 配置 任务 。 























户 登录 的 VTY 用 
的 用 户 优先 级 、 验 证 方式 、 呼 入 限制 、 呼 出 限制 等 。 

王 务 的 配置 方法 参见 本 章 3.5.1 一 3.5.4 节 (在 表 3-10 中 第 8 步 要 通过 protocol inbound telnet 
配置 对 应 的 VTY 用 户 界 面 支 持 Telnet 服 务 ) ， 验 证 方式 的 配置 参见 本 章 3.5.5 节 ， 























户 界面 : 指定 可 用 于 Telnet 登 录 的 VTY 用 户 界面 ， 并 配置 相关 VTY 用 


























建议 采用 AAA 验证 方式 

















] 户 名 和 和 密码， 并 支持 
的 是 密码 验证 或 者 不 验证 这 两 种 验证 方式 ， 则 不 需要 进 





























(4) 从 终端 通过 Telnet 登 录 交 换 机 : 从 终端 通过 Telnet 客 户 端 软件 登录 到 交换 机 VRP 系 统 。 
华为 $ 系 列 交换 机 有 关 Telnet 登 录 的 参数 缺 省 配置 如 表 3-13 所 示 














表 3-13 Telnet 登 录 的 相关 参数 缺 省 值 


参数 


缺 省 值 





Telnet 服务 器 功能 


使 能 





Telnet 服务 器 端口 号 


23 





VTY 用 户 界面 的 验证 方式 


无 验证 方式 





VTY 用 户 界 面 所 支持 的 协议 


Telnet 协议 





用 户 级 别 VTY 用 户 界 面 对 应 的 缺 省 命令 访问 级 别 是 0 








因为 以 上 第 2 项 和 第 3 项 配置 任务 在 本 章 3.5 节 已 有 详细 介绍 ， 故 下 面 仅 介绍 以 上 配置 任务 中 的 第 1 项 和 第 











4 项 。 

2. 配置 Telnet 服 务 器 功能 和 参数 

用 户 终 端 建 立 与 交换 机 的 Telnet 连 接 之 前 ， 需 要 首先 确保 交换 机 的 Telnet 服 务 功能 已 经 使 能 。 配 置 Telnet 
服务 器 功能 的 具体 步骤 如 表 3-14 所 示 。 





























表 3-14 Telnet 服 务 器 功能 及 参数 的 配置 步骤 

















步骤 命令 说 明 





system-view 
1 例如 : <HUAWEI> | 进入 系统 视图 
system-view 





(可 选 ) 使 能 Telnet 服务 器 功能 。 不 过 ， 缺 省 情况 下 ，Telnet 服务 器 
功能 已 处 于 使 能 状态 , 所 以 也 可 以 不 进行 配置 步骤 , 除非 原来 人 工 关 
闭 了 该 服务 器 功能 。 可 用 undo telnet server enable 命令 关闭 Telnet 
服务 器 ， 禁 止 Telnet 用 户 登 录 

(可 选 ) 配置 Telnet 服务 器 的 监听 端口 号 ， 取 值 范围 为 23 或 1 025 一 
telnet server Port | 55 535 的 整数 。 缺 省 情况 下 ， 监 听 端 口号 是 TCP 23。 不 过 ， 重 新 配 
Re AWEI] | 置 Telnet 服务 器 的 监听 端口 号 可 使 攻击 者 无 法 获知 更 改 后 的 Telnet 
E - 监听 端口 号 , 有 效 防止 了 攻击 者 对 Telnet 服务 标准 端口 的 登录 。 可 通 


te net Server port | 过 undo telnet server port 命令 恢复 Telnet 服务 器 的 监听 端口 号 为 缺 
省 值 的 TCP 23 号 端 ! 
随后 按照 本 章 3.5 节 的 内 容 配置 好 Telnet 登 录 中 所 需 的 VTY 界 面 属 性 和 Telnet 登 录 AAA 验 证 配置 。 然 后 就 
可 以 按照 下 面 介绍 的 登录 方法 直接 从 终端 Telnet 登 录 到 交换 机 VRP 系 统 了 。 
3. 从 终端 通过 Telnet 登 录 到 交换 机 
从 终端 通过 Telnet 登 录 到 交换 机 VRP 系 统 ， 可 以 选择 使 用 Windows 命 令 行 提 示 符 或 第 三 方 软件 ， 此 处 以 
Windows 命 令 行 提示 符 为 例 。 有 具体 步 又 如 下 。 
(1) 进入 Windows 的 命令 行 提示 符 。 
(2) 执行 Windows 命 令 telnet ip-address port， 通 过 Telnet 方 式 登录 到 交换 机 VRP 系 统 ， 如 下 所 示 。 如 果 
使 用 交换 机 上 配置 的 Telnet 服 务 器 端口 为 缺 省 的 TCP 23 号 端口 ， 则 不 用 键入 端口 号 。 
C:\Documents and Settings\Administrator> telnet 10.137.217.177 1025 
按 下 回 车 键 后 ， 在 提示 信息 下 输入 AAA 验证 方式 配置 的 登录 用 户 名 和 密码。 验证 通过 后 ， 出 现 用 户 视 
的 命令 行 提示 符 ， 至 此 用 户 成 功 登 录 交 换 机 。 
说 明 
根据 你 为 Telnet 登 录 配 置 的 验证 方式 的 不 同 ， 所 显示 的 验证 信息 也 会 不 同 ， 如 果 配置 的 是 不 验证 方 
式 ， 则 不 会 出 现 验证 信息 ， 直 接 登 录 进 交换 机 VRP 系 统 。 


Login authentication 


telnet server enable 
和 例如 : [HUAWEH 
telnet server enable 
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Username:huawei 

Password: 

Info: The max number of VTY users is 8, and the number 
of current VTY users on line is 2. 
The current login time is 2012-08-06 18:33:18. 


<Telnet Server> 





大 各 


4. Telnet 登 录 管 理 

Telnet 登 录 成 功 后 ， 可 以 通过 display users [all ] 任意 视图 命令 查看 用 户 界面 连接 情况 选择 可 选项 al 时 
则 显示 所 有 通过 用 户 界面 登录 的 用 户 的 信息 ， 包 括 未 连接 的 用 户 界面 ， 否 则 仅 显 示 当 前 已 连接 的 用 户 界面 
下 的 用 户 信 息 ; 通过 display tcp status 任 意 视 图 命令 查看 当前 建立 的 所 有 TCP 连 接 情况 ， 通 过 display telnet 
server status 任 意 视 图 命令 查看 Telnet 服 务 器 的 状态 和 配置 信息 。 
















































































































































































3.6.3 通过 Telnet 登 录 交 换 机 的 配置 示例 


























本 示例 基本 网 络 结构 如 图 3-9 所 示 ，PC 与 交换 机 之 间 的 路 由 可 达 。 现 要 求 在 担当 Telnet 服 务 器 的 S 系 列 
交换 机 端 配置 Telnet 用 户 ， 以 AAA 验证 方式 登录 到 VRP 系 统 ， 并 配置 安全 策略 ， 保 证 只 有 当前 管理 员 使 用 的 
PC (IP 地 址 为 10.1.1.1/32) 才能 通过 指定 的 VTY 用 户 界面 登录 交换 机 。 





















































































































10.1.1/32 10.137.217.177/24 


PC Telnet Server 











图 3-9 通过 Telnet 登 录 交 换 机 的 配置 示例 拓扑 结构 








1. 基本 配置 思路 
Telnet 登 录 方 式 采用 的 是 VRP 系 统 的 VTY 虚 拟 线路 ， 再 加 上 本 示例 要 求 采 用 AAA 验证 方式 ， 并 需要 通 
ACL 控 制 允许 通过 Telnet 的 终端 用 户 ， 所 以 本 示例 的 基本 配置 思路 如 下 。 
(1) 配置 所 用 的 VTY 用 户 界 面 属性 ， 指 定 支 持 Telnet 服 务 的 VTY 用 户 界面 ， 并 在 指定 的 VTY 用 户 界 本 

下 配置 ACL 策 略 控制 允许 Telnet 登 录 交 换 机 的 终端 ， 以 保证 只 有 当前 管理 员 使 用 的 PC 才能 登录 交换 机 的 VRP 
系统 。 
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(2) 配置 Telnet 登 录 的 AAA 验 证 方式 ， 并 创建 用 于 AAA 验 证 的 本 地 用 户 名 和 密码 ， 以 及 支持 的 Telnet 
服务 和 命令 访问 级 别 。 
(3) 使 能 Telnet 服 务 器 ， 并 配置 Telnet 服 务 器 功能 属性 。 
2. 具体 配置 步 又 
按照 以 上 配置 思路 ， 即 可 得 出 如 下 的 有 具体 配置 步骤 。 
(1) 配置 Telent 登 录 所 用 的 VTY 用 户 界面 的 终端 属性 ， 指 定 VTY 0 一 7 这 8 条 VTY 虚 拟 通道 可 用 于 Telnet 
登录 。 
<HUAWEI>system-view 
[HUAWEI] sysnameTelnet Server 


[Telnet Server] user-interfacevty 0 7 














































































































[Telnet Server-ui-vty0-7] shell 
[Telnet Server-ui-vty0-7] idle-timeout 20 
[Telnet Server-ui-vty0-7] screen-length 30 
[Telnet Server-ui-vty0-7] history-command max-size20 
(2) 配置 Telent 登 录 VTY 用 户 界 面 的 AAA 验 证 方式 以 及 用 户 级 别 。 


[Telnet Server-ui-vty0-7] authentication-mode aaa 















































[Telnet Server-ui-vty0-7] user privilege level 15 
[Telnet Server-ui-vty0-7] quit 
(3) 配置 控制 通过 Telnet 访 问 交 换 机 的 用 户 ACL 策 略 。 
[Telnet Server] user-interface maximum-vty 8”#--- 配 置 VTY 用 户 界 面 的 最 大 个 数 
[Telnet Server] acl 2001 
[Telnet Server-acl-basic-2001] rule permit source10.1.1.10 #--- 配 置 仅 允 许 IP 地 址 为 10.1.1.1 的 主机 访问 
[Telnet Server-acl-basic-2001] quit 
























































[Telnet Server] user-interface vty 0 7 


中 用 








lm na | 








有 户 


3.6.4 





[Telnet Server-ui-vty0-7] acl 2001 inbound ”#--- 在 VTY 0 一 7 这 8 个 用 户 界 面 中 应 用 上 面 的 ACL 
(4) 创建 用 于 Telnet 登 录 AAA 验 证 的 用 户 名 和 密码 ， 对 Telnet 服 务 的 支持 ， 以 及 用 户 访问 级 别 ( 此 示例 
户 huawei 最 终生 效 的 级 别 为 3， 并 没有 按照 Telnet 用 户 界 面 中 所 设置 的 15 级 别 生 效 ) 。 


[Telnet Server] aaa 




























































































[Telnet Server-aaa] local-userhuawei password cipherhello@123 
[Telnet Server-aaa] local-userhuawei service-type telnet 
[Telnet Server-aaa] local-userhuawei privilege level 3 
[Telnet Server-aaa] quit 
(5) 使 能 Telnet 服 务 器 功能 ， 并 配置 Telnet 服 务 器 的 监听 端口 号 。 


[Telnet Server] telnet server enable 














[Telnet Server] telnet server port1025 
(6) 客户 端 登录 到 的 交换 机 VRP 系 统 。 
进入 管理 员 PC 的 Windows 的 命令 行 提示 符 ， 执 行 相关 命令 ， 通 过 Telnet 方 式 登录 交换 机 。 
C:\Documents and Settings\Administrator> telnet 10.137.217.177 1025 
按 下 回 车 键 后 ， 在 验证 信息 中 按 提示 输入 AAA 验证 方式 配置 的 登录 用 户 名 和 密码 ， 验 证 通过 后 ， 出 现 
视图 的 命令 行 提示 符 ， 至 此 用 户 成 功 登 录 交 换 机 。 


Login authentication 













































































Username:huawei 

Password: 

Info: The max number of VTY users is 8, and the number 
of current VTY users on line is 2. 
The current login time is 2012-08-06 18:33:18. 


<Telnet Server> 





配置 用 户 通 过 STelnet 登 录 交 换 机 





DoS 


























前 面 介 绍 的 Telnet 服 务 在 传输 过 程 采用 的 是 TCP 协 议 进 行 明 文 传输 和 缺少 安全 的 认证 方式 ， 容 易 招 致 
(Denial of Service， 拒 绝 服务 ) 、 主 机 IP 地 址 欺骗 和 路 由 欺骗 等 恶意 攻击 。 本 节 介 绍 的 STelnet (Secure 
























































Telnet， 安 全 Telnet) 是 基于 SSH (Secure Shell， 安 全 外 壳 ) 协议 ， 在 传输 过 程 中 客户 端 和 服务 器 端 之 间 需 


经 过 


措施 
























































协商 ， 建 立 安全 传输 连接 ， 以 确保 在 登录 和 远程 交换 机 配置 与 管理 中 的 数据 传输 安全 。SSH 通 过 以 下 
实现 在 不 安全 的 网 络 上 提供 安全 的 远程 登录 。 
(1) 支持 RSA (Revest-Shamir-Adleman， 这 是 开发 这 种 算法 的 三 个 人 的 名 字 ) 和 DSA (Digital 


















































Signature Algorithm， 数 字 签名 算法 ) 加 密 、 认 证 方式 ，RSA 用 于 对 发 送 的 数据 进行 加 密 和 数字 签名 ，DSA 


仅 用 


























于 对 数据 进行 数字 签名 。 
(2) 支持 用 加 密 算法 DES (Data Encryption Standard) 、3DES、AES128 (Advanced Encryption 


























Standard 128) 对 用 户 名 密码 以 及 传输 的 数据 进行 加 密 。 





华为 S$ 系列 交换 机 支持 SSH 服 务 器 功能 ， 可 以 接收 多 个 SSH 客 户 端的 连接 。 同 时 ， S 系 列 交 换 机 还 支持 








SSH 客 户 端 功 能 ， 可 以 与 支持 SSH 服 务 器 功能 的 交换 机 建立 SSH 连 接 ， 从 而 实现 从 本 地 交换 机 通过 SSH 登 录 


到 远 


只 文 





Ti 























程 交 换 机 。 目 前 ， 交 换 机 作为 SSH 服 务 器 端 时 支持 SSH2 和 SSH1 两 个 版 本 ， 但 交换 机 作为 SSH 客 户 端 时 
持 SSH2 版 本 。 
1. 配置 任务 























在 配置 用 户 通过 STelnet 登录 交换 机 之 前 ， 需 要 确保 终端 与 交换 机 之 间 路 由 可 达 ， 且 在 





SSH 客 户 端 软件 。 其 他 STelnet 登 录 配 置 任务 如 下 。 











(1) 配置 STelnet 服 务 器 功能 及 参数 : 包括 服务 器 本 地 密 钥 对 4 
器 参数 的 配置 ， 如 监听 端口 号 、 密 钥 对 更 新 时 间 、SSH 验 说 


YL 


mi 








E 成 、STelnet 服 务 器 功能 的 开启 以 及 服务 




















(2) 配置 SSHI) 


验证 模式 ) 、 支 持 SSH 协 议 及 其 















































FE 超时 时 间或 SSH 验 





证 重 试 次 数 等 。 
j 户 验证 方式 〈 仅 可 选择 AAA 























j 户 登录 的 用 户 界 面 : 包括 VTY 











也 VTY 用 户 界面 属性 








本 项 配置 任务 的 











配置 方法 参见 本 章 3.5.1 一 


























配置 对 应 的 VTY/ 





] 户 界 本 











o 





户 界 对 


的 上 


] 户 优 9 


























E 级 、/ 


支持 SSH 服 务 ) ， 验 证 方式 的 配置 参见 本 章 3.5.5 节 ， 建 议 采 


3.5.4 节 〈 在 表 3-10 中 第 8 步 要 通过 protocol inbound ssh 命 令 























AAA 验证 方式 〈 也 





可 以 采用 其 他 验 鹿 





EF 方式 ) 。 



































(3) 配置 SSHI) 


j 户 : 包括 SSH1 





] 户 名 和 密码 、 验 证 方式 和 服务 方式 等 。 


























(4) 用 户 通过 STelnet 登 录 交 换 机 : 从 终 站 


当 通 过 SSH 客 户 端 软 伯 





登录 到 交换 机 的 VRP 系统 。 





华为 $ 系 列 交换 机 有 关 STelnet 登 录 的 参数 缺 省 配置 如 表 3-15 所 示 。 





表 3-15 STelnet 登 录 的 相关 参数 缺 省 值 































































































参数 缺 省 值 
STelnet 服务 器 功能 关闭 
SSH 服务 器 端口 号 22 
SSH 服务 器 密 钥 对 的 更 新 周期 0 小 时 ， 表 示 永 不 更 新 
SSH 连接 验证 超时 时 间 60s 
SSH 连接 的 验证 重 试 次 数 3 
SSH 服务 器 兼容 低 版 本 功能 使 能 
VTY 用 户 界面 的 验证 方式 无 验证 方式 
VTY 用 户 界面 所 支持 的 协议 Telnet 协议 
SSH 用 户 的 验证 方式 验证 方式 是 空 ， 即 不 支持 任何 验证 方式 
SSH 用 户 的 服务 方式 服务 方式 是 空 ， 即 不 支持 任何 服务 方式 
SSH 服务 器 为 用 户 分 配 公 钥 | 没有 为 用 户 分 配 公 钥 
用 户 级 别 VTY 用 户 界面 对 应 的 缺 省 命令 访问 级 别 是 0 
下 面 仅 介绍 以 上 配置 任务 中 的 第 1、 第 3 和 第 4 项 。 
2. 配置 STelnet 服 务 器 功能 和 参数 








Stelnet 服 务 器 功 色 


臣 和 参数 的 配置 步 又 如 表 3-16 所 示 。 
对 ， 使 能 STelnet 服 务 器 功能 ， 配 置 SSH 监 听 端 
衣 性 。 











| 建 用 于 传输 数据 加 密 的 SSH 本 地 密 钥 
































主要 包括 匈 














、SSH 密 钥 更 新 周 














期 、SSH 了 验证 重 试 次 数 、SSH 连 接 超时 等 











表 3-16 STelnet 服 务 器 功能 和 参数 的 配置 步骤 




















命令 








system-view 
例如 : <HUAWEI> system- 
View 


rsa local-key-pair create 
例 如 : [HUAWEI]rsa 
local-key-pair create 

或 

dsa local-key-pair create 
(S2700、S3700 系列 不 支 
持 ) 

例如 : [HUAWEI] dsa 
local-key-pair create 


stelnet server enable 
例如 : [HUAWEI] stelnet 
server enable 





进入 系统 视图 


根据 所 采用 的 加 密 算法 ， 生 成 本 地 RSA 主机 密 钥 对 和 服务 器 密 
钥 对 ,或 DSA 主机 密 钥 对 ， 产 生 的 密 钥 对 命名 方式 为 “交换 机 
名 称 _server” 和 “交换 机 名 称 _host”， 用 于 服务 器 向 客户 端 发 送 
数据 时 的 数据 加 密 保护 。 

执行 命令 后 生成 的 密 钥 对 将 保存 在 交换 机 中 但 不 会 保存 在 配 


置 文件 中 )， 交 换 机 重启 后 不 会 丢失 。 密 钥 对 生成 后 ， 可 以 执行 
display rsa local-key-pair public 或 display dsa local-key-pair 
public 命令 查看 本 地 密 钥 对 中 的 公 钥 部 分 信息 

输入 命令 后 ， 交 换 机 会 提示 用 户 输入 主机 密 钥 的 位 数 ，RSA 服务 
器 密 钥 对 的 位 数 与 RSA 主机 密 钥 对 的 位 数 至 少 相差 128 位 ， 最 小 
长 度 为 512 位 ， 最 大 长 度 为 2 048 位 ， 缺 省 为 2 048 位 ; DSA 主机 
密 钥 对 的 长 度 可 为 S12、1 024、2 048 位 ， 缺 省 情况 下 为 512 位 
缺 省 情况 下 , 没有 配置 任何 本 地 RSA 或 DSA 密 钥 对 。 如 果 原 来 已 
有 RSA 密 钥 对 存在 ， 则 系统 会 提示 用 户 确认 是 否 替 换 原 有 密 钥 
使 能 SSH 服务 器 端的 STelnet 服务 功能 。 缺 省 情况 下，STelnet 
服务 功能 未 使 能 ， 可 使 用 undo stelnet server enable 命令 关闭 
SSH 服务 器 端的 STelnet 服务 。 去 使 能 SSH 服务 器 的 STelnet 
服务 后 ， 所 有 的 客户 端 将 断 开 连接 











ssh server port porr- 
number 

例如 : [HUAWEI] ssh 
server port 2018 


(可 选 ) 配置 SSH 服务 器 监听 端口 号 , 取 值 范围 为 22 或 1 025 一 
55 535 的 整数 ， 如 果 配 置 了 新 的 监听 端口 号 ，SSH 服务 器 端 先 
断 开 当前 已 经 建立 的 所 有 STelnet 连接 ,然后 使 用 新 的 端口 号 开 
始 监听 ,这 样 可 以 有 效 防止 攻击 者 对 SSH 服务 标准 端口 的 访问 ， 
确保 安全 性 

缺 省 情况 下 ，SSH 服务 器 端 监听 端口 号 是 22， 可 用 undo ssh 
server port 命令 恢复 SSH 服务 器 端 监听 端口 为 缺 省 的 22 号 端口 





ssh server rekey- interval 
interval 

例如 : [HUAWEUHssh server 
rekey-interval 2 


(可 选 ) 配置 SSH 服务 器 密 钥 对 更 新 周期 ， 取 值 范 围 为 0 一 24 
的 整数 小 时 。 配 置 服务 器 密 钥 对 更 新 时 间 ， 可 使 当 SSH 服务 器 
密 钥 对 的 更 新 周期 到 达 时 ， 自 动 更 新 服务 器 密 钥 对 ， 从 而 可 以 
保证 安全 性 

缺 省 情况 下 ，SSH 服务 器 密 钥 对 的 更 新 时 间 问 隔 是 0， 表 示 永 
不 更 新 。 可 用 undo ssh server rekey-interval 命令 恢复 配置 的 
SSH 服务 器 密 钥 对 更 新 周期 为 缺 省 值 0， 即 永 不 更 新 





ssh server timeout seconds 
例如 ; [HUAWEI] ssh server 
timeout 100 


(可 选 ) 配置 SSH 验证 超时 时 间 , 到 值 范围 为 1 一 120 的 整数 秒 ， 
当 设 午 的 SSH 验证 超时 时 间 到 达 后 ， 如 果 用 户 还 未 登录 成 功 ， 
则 终止 当前 连接 ， 确 保 了 安全 性 

缺 省 情况 下 ,SSH 连接 验证 超时 [时间 是 60s, 可 用 undo ssh server 
timeout 命令 恢复 SSH 验证 超时 时 间 为 缺 省 的 60s 








ssh server authentication- 
retries times 


例如 : [HUAWEHssh server 
authentication-retries 


ssh server compatible- 
sshlx enable 

例如 : [HUAWEIl]ssh server 
compatible-sshlx enable 


(可 选 ) 配置 SSH 验证 重 试 次 数 ， 取 值 范围 是 1 一 5 的 整数 。 配 
图 SSH 验证 重 试 次 数 用 来 设置 SSH 用 户 请 求 连接 的 验证 重 试 次 
数 ， 防 止 非法 用 户 登 录 

缺 省 情况 下 ，SSH 连接 的 验证 重 试 次 数 是 3， 可 用 undo ssh 
server authentication-retries 命令 恢复 SSH 验证 重 试 次 数 为 缺 
省 的 3 次 

(可 选 ) 使 能 SSH 服务 器 兼容 低 版 本 SSH 协议 ， 主 要 应 用 于 客 
户 端 与 服务 器 的 版 本 协商 阶段 。 客 户 端 与 服务 器 建立 TCP 连接 
后 ， 开 始 协议 版 本 协商 ， 以 期 与 服务 器 达成 一 个 可 以 工作 的 协 
议 版 本 

SSH 服务 器 按 以 下 规则 比较 客户 端 发 来 的 版 本 , 决定 是 否 能 与 客 
户 端 一 起 工作 : 

。 如果 客户 端的 协议 版 本 号 低 于 1. 3 或 高 于 2,0, 则 版 本 协商 失 
败 ， 断 开 连 接 

e 如 果 客 户 端 的 协议 版 本 为 大 于 等 于 1.3 并 且 小 于 1.99， 如 果 
系统 配置 为 兼容 SSH1.X 方式 ， 则 进入 SSH1. 5 SERVER 模块 ， 后 
续 进 行 SSH1. x 协议 流程 ， 否 则 版 本 协商 失败 ， 断 开 与 客户 端的 
e 如 客户 端 协议 版 本 为 1 99 或 2.0， 则 进入 SSH2. 0 SERVER 模 
块 ， 后 续 进 行 SSH2. 0 协议 流程 。 

该 配置 在 下 次 登录 时 生效 。 缺 省 情况 下 ，SSH2.0 协议 的 服务 器 
是 兼容 SSH1.X 服务 器 功能 的 





【示例 1】 在 交换 机 上 创建 RSA 本 地 主机 密 钥 对 和 服务 器 密 钥 对 。 
<HUAWEI>system-view 


[HUAWEI] rsa local-key-pair create 
The key name will be: HUAWEI_Host 
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512， 
it will take a few minutes. 
Input the bits in the modulus[default = 2048] :1024 


Generating ke 


ys.. 

















十 十 十 十 十 十 十 十 








.十 十 十 十 十 十 十 十 十 
【示例 2】 在 交换 机 上 创建 DSA 本 地 主机 密 钥 。 

<HUAWEI>system-view 

[HUAWEI] dsa local-key-pair create 

Info: The key name will be: HUAWEI_Host_DSA. 

Info: The key modulus can be any one of the following : 512, 1024, 2048. 








Info: If the key modulus is greater than 512, it may take a few minutes. 


Please input the modulus [default=512] : 


Info: Generati 


ng keys. . 


Info: Succeeded in creating the DSA host keys. 
3. 配置 SSH 用 户 





S 系 列 交 换 机 支持 RSA、DSA、password、password-rsa、password-dsa 和 all 六 种 用 户 验 证 方式 。 其 中 
password-rsa 验证 需要 同时 满足 password 验证 和 RSA 验证 ，password-dsa 验 说 


DSA 验 证 ; a] 验 订 


不 。 














是 指 password 验 说 














E、RSA 或 DSA 验 证 方式 满足 





























表 3-17 SSH 用 户 的 配置 步 又 























F 需 要 同时 满足 password 验 证 和 








一 利 


h 即 可 。 


























人 体 的 配置 步骤 如 表 3-17 所 























1 








System-view 

例如 : <HUAWEI> system- 
view 

ssh user user-name 

例如 : [HUAWEI] ssh user 
winda 


ssh user user-name 
authentication-type 

{ password | rsa |passwo-r 
d-rsa |dsa| password- 
dsal all } 

例如 : [HUAWEI]ssh user 
winda authentication- type 
rsa 


进入 系统 视图 


创建 SSH 用 户 ， 为 1 一 64 个 字符 ， 不 支持 空格 ， 不 区 分 大 小 写 


配置 SSH 用 户 的 验证 方式 。 对 于 新 用 户 必 须 指 定 其 验证 方式 ， 

否则 用 户 无 法 登录 。 但 新 配置 的 验证 方式 在 下 次 登录 后 才 生 效 。 
命令 中 的 参数 和 选项 说 明 如 下 。 

(1) user-name: 指定 上 一 步 创 建 的 SSH 用 户 名 

(2) password: 多 选 一 选项 ， 指 定 SSH 用 户 采 用 密码 验证 方式 。 
但 要 注意 ， 这 里 不 仅 需要 进行 密码 验证 ， 还 需要 进行 用 户 账户 名 
验证 。 在 服务 器 端 由 AAA 为 每 一 个 合法 用 户 分 配 一 个 用 于 登录 时 
进行 身份 验证 的 口令 ， 即 在 服务 器 端 存 在 “用 户 名 十 口令 ”的 一 
一 对 应 的 关系 。 当 某 个 用 户 请 求 登 录 时 ， 服 务 器 需要 对 用 户 名 以 
及 其 口令 分 别 进行 鉴别 ， 其 中 任何 一 项 不 能 验证 通过 均 告 验证 失 
败 ， 拒 绝 该 用 户 的 登录 请 求 。 该 验证 方式 的 用 户 的 账号 信息 可 以 
配置 在 交换 机 或 者 远程 验证 服务 器 〈 如 RADIUS 验证 服务 器 ) 上 
(3) rsa: 多 选项 一 选项 ， 指 定 SSH 用 户 采 用 RSA 验证 方式 。 

如 果 采 用 此 种 验证 方式 ,服务 器 必须 检查 用 户 是 否 是 合法 的 SSH 
用 户 , 检查 公 钥 对 于 该 用 户 是 否 合法 , 检查 用 户 数字 签名 是 否 合 
法 。 若 三 者 同时 满足 ， 则 身份 验证 通过 ; 若 其 中 任何 一 项 不 能 验 
证 通过 均 告 验证 失败 ， 拒 绝 该 用 户 的 登录 请 求 

(4) password-rsa: 多 选项 一 选项 ， 指 定 SSH 用 户 采 用 密码 和 
RSA 两 种 验证 方式 。SSH 服务 器 可 以 要 求 客户 端 进行 身份 验证 
的 过 程 中 同时 进行 Publickey ( 公 钥 ) 身份 验证 和 Password 身份 验 
证 ， 只 有 在 两 者 同时 满足 的 情况 下 ， 才 认为 客户 端 身份 验证 通过 








说 明 


这 里 的 password 验 训 








ssh user user-name 
authentication-type 

{ password | rsa jpasswo-r 
d-rsa |dsa| password- 
dsal all } 

例如 : [HUAWEI]ssh user 
winda authentication- type 
rsa 


ssh user Lser-name service- 
type | stelnet | all } 
例如 : [HUAWEI] ssh 
user winda service-type 
stelnet 


ssh user user-name 
authorization-cmd aaa 
例如 : [HUAWEI]ssh user 
winda 

authorization-cmd aaa 





(5) dsa: 多 选 一 选项 ， 指 定 SSH 用 户 采 用 DSA 验证 方式 (S2700 
和 S3700 系列 交换 机 不 支持 )。DSA 和 RSA 验证 相同 , 服务 器 必须 
检查 用 户 是 否 是 合法 的 SSH 用 户 ， 检 查 公 钥 对 于 该 用 户 是 否 合法 ， 
用 户 数字 签名 是 耕 合 法 ,车 三 者 同时 满足 ， 则 身份 验证 通过 ; 若 其 
中 任何 一 项 不 能 验证 通过 均 告 验证 失败 , 拒绝 该 用 户 的 登录 请 求 。 但 
相 比 RSA 验证 ，DSA 验证 采用 数字 签名 算法 进行 加 密 ， 具 有 更 广 
泛 的 应 用 性 ， 很 多 工具 仅 支 持 使 用 DSA 进行 服务 器 和 客户 端 验证 
(6) password-dsa: 多 选 一 选项 , 指定 SSH 用 户 采 用 密码 和 DSA 
两 种 验证 方式 (S2700 和 S3700 系列 交换 机 不 支持 )，SSH 服务 
器 可 以 要 求 客户 端 进行 身份 验证 的 过 程 中 同时 进行 Publickey 身 
份 验证 和 Password 身份 验证 ， 只 有 当 两 者 同时 满足 的 情况 下 ， 
才 认 为 客户 端 身份 验证 通过 

(7) all: 多 选项 一 选项 ， 指定 SSH 用 户 密码 或 RSA 或 DSA 验证 
方式 (如果 是 $2700 或 S3700 系列 交换 机 , 则 不 支持 DSA 验证 )， 
可 以 要 求 客户 端 在 进行 身份 验证 的 过 程 中 进行 公 钥 验证 或 密码 验 
证 ， 只 要 满足 其 中 一 个 验证 ， 就 认为 客户 端 身份 验证 通过 

缺 省 情况 下 ，SSH 用 户 的 验证 方式 为 空 ， 即 不 支持 任何 验证 方 
式 ， 可 用 undo ssh user wser-name authentication-type 命令 恢复 
SSH 用 户 的 验证 方式 到 缺 省 情况 

如 果 没 有 使 用 本 命令 为 相应 SSH 用 户 配置 验证 方式 ， 则 可 以 直 
接 使 用 ssh authentication-type default password 命令 为 该 用 户 配 禹 
SSH 验证 缺 省 采用 密码 验证 。 在 用 户 数量 比较 多 时 ， 对 用 户 使 用 缺 
省 密码 验证 方式 可 以 简化 配置 ， 此 时 只 需 再 配 痪 AAA 用 户 即 可 
配置 SSH 用 户 的 服务 方式 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) user-name: 指定 前 面 创建 的 SSH 用 户 账户 名 

(2) stelnet: 二 选 一 选项 ， 指 定 user-name 参数 指定 的 SSH 用 户 
账户 仪 支持 Stelnet 服务 

(3) all: 二 选 一 选项 ， 指 定 user-name 参数 指定 的 SSH 用 户 账 
户 支持 SFTP 服务 方式 和 STelnet 服务 方式 

缺 省 情况 下 ，SSH 用 户 的 服务 方式 是 宅 ， 即 不 支持 任何 服务 方 
式 , 可 用 undo ssh user username service-type 命令 取消 指定 SSH 
用 户 所 有 支持 的 服务 方式 

(可 选 ) 为 指定 的 SSH 用 户 配置 按 命 令 行 授权 。 参 数 user-name 就 
是 前 面 创建 的 SSH 用 户 。 该 命令 只 对 使 用 RSA 或 DSA 验证 方式 
的 SSH 用 户 有 效 ; 授 权 后 再 进行 相关 AAA 授权 配置 , 否则 该 SSH 
用 户 的 命令 行 授 权 配 置 不 能 生效 。 对 于 采用 党 码 方式 登录 的 用 户 ， 
由 AAA 的 配置 决定 是 否 需 要 授权 。 通 常 是 不 需要 配置 的 

通常 情况 下 ， 某 级 别 用 户 经 过 授权 后 可 以 执行 该 级 别 及 该 级 别 以 下 
的 命令 集 。 为 了 加 强 对 用 户 权限 的 限制 ， 实 现 权 限 的 最 小 化 控制 ， 
可 以 配置 按 命 令 行 授权 。 配 置 按 命 令 行 授权 后 ， 用 户 输入 的 每 一 
条 命令 都 需要 进行 授权 ， 授 权 通 过 后 才 可 以 执行 ， 否 则 不 能 执行 
该 命令 ,可 通过 authorization-cmd privilege-level hwtacacs [ local ] 
命令 配置 按 命 令 行 授权 ， 生 效 后 由 参数 privilege-level 指定 的 级 别 
用 户 执行 命令 时 ， 每 条 命令 都 需要 经 过 HWTACACS 服务 器 授权 





登录 交换 机 时 ， 需 要 在 AAA 视图 下 创建 同名 的 本 地 用 户 。 








如 果 SSH 用 户 使 月 








用 RSA 或 DSA 验 证 








~ 








需要 将 对 方 的 公 钥 配 置 到 本 地 。 


如 果 对 SSH 用 户 进行 password 验 训 
配置 ， 如 果 对 SSH 月 
表 3-19 所 示 配 置 ， 如 果 对 SSH 用 户 进行 password-rsa 或 password-dsa 验 订 














E (password、password-dsa 或 password-rsa 验 训 











要 进行 配置 ， 即 要 同时 进行 表 3-18 和 表 3-19 中 的 配置 。 





表 3-18 配置 对 SSH 用 户 进行 password、password-dsa 或 password-rsa 验 证 


FE 要 依靠 AAA 实现 ， 所 以 当 用 户 使 用 password、password-rsa 或 password-dsa 验 证 方式 

















月 password 验 证 ， 则 只 需要 在 SSH 服 务 器 端 生 成 本 地 RSA 或 DSA 密 钥 ， 如 果 SSH 用 户 使 
则 在 服务 器 端 和 客户 端 都 需要 生成 本 地 RSA 或 DSA 密 钥 对 ， 并 且 服 务 器 端 和 客户 端 都 





E) 还 需 进行 表 3-18 所 示 
日 户 进 行 rsa 或 dsa 验证 (包括 dsa、rsa、password-dsa 或 password-rsa 验 证 ) 还 需要 进行 
E， 则 AAA 用 户 和 RSA 或 DSA 公 钥 都 需 





1 


System-view 
如 : <HUAWEI> system- 


如 : [HUAWEI] aaa 


local-user user-name pass- 
word cipher password 
例如 : [HUAWEI-aaa] local- 


user winda password cipher 


说 明 


进入 系统 视图 


配置 本 地 用 户 名 和 密码 。 参 数 user-name 的 长 度 范 围 为 1 一 64 
个 字符 ， 不 支持 空格 ， 不 区 分 大 小 写 ; 参数 password 为 长 度 
范围 为 1 一 16 个 明文 字符 , 或 长 度 为 32 个 密 文字 符 ， 支 持 空 
格 、 单 引号 和 问号 ， 区 分 大 小 写 





表 3-19 配置 对 SSH 月 





al-user user-name serVvi- 
ce-type ssh 
如 : [HUAWELaaa] local- 
User winda service-type ssh 
cal-user user-name privi 
lege level level 
例如 : [HUAWEI-aaa] local- 
User winda privilege level 10 




















命令 


配置 指定 本 地 用 户 的 服务 方式 为 SSH 服务 














配置 指定 本 地 用 户 为 指定 的 级 别 ， 取 值 范围 为 0 一 15 的 整数 


日 户 进行 dsa、rsa、password-dsa 或 password-rsa 验 证 





system-view 
例如 : <HUAWEI> system- 
view 


进入 系统 视图 





rsa peer-public-key key- 
name [encoding-type {der| 
openssh | pem } ] 

例如 : [HUAWEI] rsa peer- 


public- key 002 encoding- type 
der 
或 


dsa peer-public-key key- 
name encoding-type {der | 
openssh | pem } 

例如 : [HUAWEI] dsa peer- 
public-key 002 encoding- 
type der 





配置 RSA 或 DSA 公共 密 钥 编码 格式 ， 进 入 RSA 或 DSA 公 
钥 视 图 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) key-name: 指定 RSA 或 DSA 公 钥 名 称 ， 长 度 范围 是 1 一 
30 个 字符 ， 不 支持 大 小 写 ， 不 支持 空格 

(2) encoding-type: 可 选项 ， 指 定 RSA 或 DSA 公 钥 编码 格 
式 类 型 

(3) der: 多 选 一 选项 ， 指 定 RSA 或 DSA 公 钥 编码 格式 是 
DER。DER 格式 是 将 数据 进行 十 六 进 制 编码 。 此 为 缺 省 编 
人 码 格式 

(4) openssh: 多 选 一 选项 ， 指 定 RSA 或 DSA 公 钥 编码 格式 
是 OpenSSH。OpenSSH 格式 是 将 数据 进行 六 十 四 进 制 编码 





( 续 表 ) 


rsa peer-public-key key- 
name [ encoding-type { der | 
openssh | pem } ] 

例如 :; [HUAWEI] rsa 
peer- public-key 002 
encoding- type der 

或 

dsa peer-public-key key- 
name encoding-type | der | 
openssh | pem } 

例如 : [HUAWEIH] dsa peer- 
public-key 002 encoding- 
type der 


public-key-code begin 
例如 : [HUAWEI-rsa-public- 
key]jpublic-key-code begin 
或 
[HUAWEI-dsa-public-key] 
public-key-code begin 


(5) pem: 多 选 一 选项 ， 指 定 RSA 或 DSA 公 钥 编码 格式 是 
PEM。PEM 格式 是 将 数据 进行 六 十 四 进 制 编码 

【注意 】 命令 中 的 [encoding-type { der | openssh | pem } ] 
部 分 选项 仅 S5700、S6700、S7700 和 S9700 系列 交换 机 
支持 

可 用 undo rsa peer-public-key key-name 命令 副 除 指定 的 公 钥 
通过 本 命令 指定 RSA 或 DSA 公 钥 编码 格式 后 ， 交 换 机 会 自 
动 生成 相应 编码 格式 的 密 钥 ， 同 时 进入 RSA 或 DSA 公 钥 视 
图 ， 再 执行 publie-key-code begin 命令 后 ， 用 户 即 可 通过 手 
动 复制 的 方式 将 客户 端 产 生 的 公 钥 复制 到 服务 器 端 。 客户 端 
的 公 钥 是 由 客户 端 软件 随机 生成 的 

进入 公 钥 编辑 视图 。 输 入 本 命令 后 ， 进 入 公 钥 编辑 视图 ， 在 
该 视图 下 可 以 开始 输入 密 钥 数 据 。 这 里 的 公 钥 就 是 在 表 3-16 
中 第 2 步 所 创建 的 本 地 密 钥 对 中 的 公 钥 , 在 输入 密 钥 数据 时 ， 
字符 之 间 可 以 有 空格 ， 也 可 以 按 回 车 键 继 续 输入 数据 。 所 配 
置 的 公 钥 必须 是 按 公 钥 格式 编码 的 十 六 进 制 字 符 串 ， 是 由 支 
持 SSH 的 客户 端 软件 随机 生成 的 ， 具体 操作 参见 相应 的 SSH 
客户 端 软件 的 帮助 文档 





public-key-code end 


例如 : [HUAWEI-rsa-key- 
code]public-key-code end 
或 
[HUAWEI-dsa-key-codejp 
ublic-key-code end 


从 公 钥 编辑 视图 退回 到 公 和 钥 视 图 , 并 且 保 存 用 户 配 置 的 公 铀 。 
如 果 未 输入 合法 的 密 钥 编码 数据 ， 执 行 本 步骤 后 也 将 无 法 生 
成 帘 钥 
如 果 指 定 的 密 钥 key-name 已 经 在 别 的 窗口 下 被 删除 ， 再 执行 
本 步 桑 时， 系统 会 提示 : 密 钥 已 经 不 存在 ， 此 时 直接 退 到 系 
统 视图 





peer-public-key end 

和 例如; [HUAWEI-rsa-public- 
key]peer-public-key end 
或 
[HUAWEI-dsa-public-key] 
peer-public-key end 


ssh user user-name assign 
{ rsa-key | dsa-key } key- 
Name 

例如 : [HUAWEI] ssh user 
winda assign rsa-key 002 


【示例 1】 进 入 RSA 公 钥 视 图 。 
<HUAWEI>system-view 
[HUAWEI] rsa peer-public-key 002 


退出 公 钥 视图 ， 回 到 系统 视图 


为 用 户 分 配 一 个 已 经 存在 的 公 铀 ， 
如 下 : 

(1) user-name: 指定 AAA 定义 的 有 效 SSH 用 户 名 

(2) rsa-key: 二 选 一 选项 ， 指 定 使 用 RSA 公 钥 

(3 )dsa-key: 二 选 一 选项 , 指定 使 用 DA 公 钥 (S2700 和 S3700 
系列 不 支持 ) 

(4) key-name: 指定 配置 的 客户 端 RSA 或 者 DSA 公 钥 名 ， 
要 与 第 2 步 指定 的 公 钥 名 一 臻 

缺 省 情况 下 ， 没 有 为 SSH 用 户 分 配 公 钥 ， 可 用 undo ssh user 
user-name assign { rsa-key | dsa-key } 命令 删除 指定 用 户 和 对 
应 公 钥 之 间 的 对 应 关系 


命令 中 的 参数 和 选项 说 明 





Enter "RSA public key" view, return System view with "peer-public-key end". 


[HUAWEI-rsa-public-key] 


【示例 2】 进 入 公 钥 编辑 视图 ， 输 入 RSA 密 钥 。 





[HUAWEI] rsa peer-public-key 003 


Enter "RSA public key" view, return System view with "peer-public-key end". 
[HUAWEI-rsa-public-key] public-key-code begin 


Enter "RSA key code" view, return last view with "public-key-code end". 


[HUAWEI-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463 
[HUAWEI-rsa-key-code] 1991C164BODF178C55FA833591C7D47D5381D09CE82913 
[HUAWEI-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4 
[HUAWEI-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DAODC 
[HUAWEI-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16 
[HUAWEI-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125 


[HUAWEI-rsa-key-code] public-key-code end 
[HUAWEI-rsa-public-key] 

【示例 3】 为 用 户 zhangsan 分 配 RSA 公 钥 key1。 
<HUAWEI>system-view 


[HUAWEI] ssh user zhangsan assign rsa-key keyl 


【示例 4】 为 130.100.0.114| 




















<HUAWEI>system-view 
[HUAWEI] ssh user 130.100.0.114 assign dsa-key pemkey 


Info: Succeeded in adding a new SSH user. 


【示例 5】 配 置 对 用 户 john 按 命令 行 授权 。 执 行 命 
权 方 法 。 可 通过 authorization-cmdprivilege-levelhwtacacs [ local ] 命 


<HUAWEI>system-view 


j 户 分 配 DSA 公 钥 pemkey。 








令 后 会 有 提示 信息 ， 要 求 已 为 该 用 






































令 配置 。 





[HUAWEH ssh user john authorization-cmd aaa 

















Info: Please make sure that the command line authorization method has been set for the user. 











4. 








Se 


j] 户 通过 STelnet 登 
完成 以 上 各 部 分 的 配置 后 ， 用 户 就 可 以 使 用 安装 了 SSH 客 户 端 软件 


登录 交换 机 

















ar 





机 。 此 处 以 使 ) 











址 ;在 “port" 下 拉 列 表 : 





3-10 所 示 。 


J 画 
换 机 的 操作 方法 。 
(1) 打开 putty 软件 配置 对 话 框 ， 
































全 方 SSH 客户 了 山 软 件 putty， 水 ) | 


选择 所 配置 的 SSH 服 务 端口 ， 缺 省 为 22; 






































比较 简单 的 密码 验证 方式 为 例 介 绍 通 


的 终端 通过 Stelnet 方 式 登录 到 交换 
过 Stelnet 登 录 到 交 

















“Host Name(or IP adress)” 文 本 框 中 输入 交换 机 的 主机 名 或 人 地 























RR PuTTT Configuration 


Category: 
-= Session 
Logging 
-3 Teminal 
Keyboard 
Bell 
Features 
3 Window 
Appearance 
Behaviour 
Translation 
Selection 
Colours 
-= Connection 
Proxy 
Telnet 
Rlogin 
= SSH 
Auth 
Tunnels 
Bugs 


| About 





Basic options for your PuTTY session 


Specify your connection by host name or |P address 
Host Name [or IP address] Port 
10.137.217.203 22 
Protocot. ; 

) Baw Teinet © Rlogin ssH 
Load, save or delete a stotred session 


Saved Sessions 


Default Settings 


Close window on exit 
OBAlways ©O Never 


>) Only on clean exit 


在 “Protocol”*” 栏 中 选择 “SSH”* 单 选项 ， 如 

















Dpen | Cancel 





图 3-10 putty 配 置 对 话 框 


















































(2) 其 他 选择 采用 缺 省 配置 即 可 ， 然 后 单 击 *Open” 按 钮 即 可 登录 到 交换 机 。 首 先 在 putty 终 端 软件 控 


制 台中 出 现 如 下 提示 信息 ， 请 你 输入 用 户 名 和 密码 〈 输 入 的 密码 不 会 在 控 于 
置 正 确 ， 就 可 以 成 功 登录 到 交换 机 了 。 


login as: client001 #--- 输 入 登录 用 








Sent username "client001" 























| 台 显 示 的 ) 。 完 成 后 ， 如 果 配 








client001@10.137.217.203's password: ”#--- 输 入 用 户 密码 (不 会 在 控制 台中 显示 的 ) 


Info: The max number of VTY users is 8, and the number 
of current VTY users on line is 5. 


The current login time is 2012-08-06 09:35:28. 


<SSH Server> 
5. STelnet 登 录 管 理 








Stelnet 成 功 登录 后 ， 可 以 执行 以 下 他 
(1) 使 用 display ssh user-information [username ] 命令 在 SSH 服 务 器 端 〈 也 就 是 交换 机 ) 查看 SSH 


























(2) 使 用 display ssh server status 命 令 查看 SSH 服 务 器 的 全 
(3) 使 用 display ssh server session 命 令 在 SSH 服 务 器 端 查 看 与 SSH 客 户 
































3.6.5 通过 STelnet 登 录 交 换 机 的 配置 示例 





置信 息 。 如 果 不 指定 SSH 用 户 ， 则 可 以 查看 SSH 服 务 器 端 所 有 的 SSHI 


























E 意 视图 display 命 令 查 看 相关 信息 。 


























j 户 配 





] 户 配置 信息 。 


二 自 





























口 ,Co 






































10.137.217.203 是 SSH 服 务 器 的 管理 





























端 连 接 的 会 话 信息 。 





本 配置 示例 拓扑 结构 如 图 3-11 所 示 。 终 端 PC1、PC2 和 担当 SSH 服 务 器 的 S 系 列 交换 机 之 间 路 由 可 达 ， 


























E 口 PP 地址 。 在 SSH 服 务 器 端 配置 两 个 登录 用 户 为 client001 和 client002， 








PC1 使 用 dliet001 用 户 通 过 password 验 证 方式 登录 SSH 服 务 器 ，PC2 使 用 dliet002 用 户 通过 RSA 验 证 方式 登录 


SSH 服 务 器 。 


PC1 


































a 


PC2 





图 3-11 通过 STelnet 登 录 交 换 机 的 配置 示例 拓扑 结构 


























1. 基本 配置 思路 


本 示例 要 求 采用 STelent 方 式 〈( 采 | 
VTY 用 户 界面 ， 但 要 求 在 登录 终端 安 嵌 




















的 是 SSH 服 务 ) 登录 到 区 了 
sSSH 服 务 客 户 端 软 从 





























password 验 证 方式 登录 ， 男 一 个 用 户 采 用 








的 基本 配置 思路 如 下 。 

















方式 登录 。 根 和 



































换 机 VRP 系 统 ， 所 使 用 的 也 是 VRP 系 统 的 
FE。 本 示例 中 最 关键 是 的 要 求 其 中 一 个 用 户 采 用 
居 3.6.3 节 介绍 的 配置 任务 ， 可 以 得 出 本 示例 








《1) 因为 PC1 终 端 用 户 采 用 的 是 password 验 证 方式 登录 到 交换 机 ， 所 以 需要 事先 安装 好 SSH 服务 客户 
端 软件 ，PC2 终端 采用 的 是 RSA 验证 方式 登录 到 交换 机 ， 除 了 需要 安装 SSH 服 务 客户 端 软件 外 ， 还 需要 生 


























成 用 于 RSA 验 证 所 需 的 本 地 RSA 公 钥 对 和 服务 器 密 钥 对 。 


说 明 














SSH 用 户 有 password、RSA、password-rsa、DSA、password-dsa 和 all 这 6 种 认 证 方式 。 如 果 SSH 用 户 的 





认证 方式 为 password、password-rsa、password-dsa 时 ， 必 须 在 服务 器 端 配置 同名 的 本 地 用 户 ; 如果 SSH 用 户 


























的 认证 方式 为 RSA、password-rsa、DSA、password-dsa 和 all， 则 在 服务 器 端 应 保存 SSH 客 户 端 的 RSA 或 DSA 








(2) 配置 STelnet 登 录 所 用 的 VTY 用 





























(3) 在 配置 为 SSH 服 务 器 的 交换 机 端 生成 本 地 密 钥 对 和 

















户 端 进行 安全 的 数据 交互 。 
(4) 在 SSH 
证 方式 和 RSA 验 




















服务 器 端 开 启 STelnet 服 务 功能 ， 
证 方式 ， 配 置 client001 用 




















户 界 面 ， 并 设置 它们 支持 SSH 服 务 ， 采 用 AAA 验 证 方式 和 用 户 级 



































服务 器 密 钥 对 ， 实 现在 SSH 服 务 器 端 和 SSH 客 





并 创建 SSH 用 户 client001 和 client002， 分 别 指定 password 验 
户 密 码 、 用 户 级 别 和 支持 SSH 服 务 。 


























(5) 用 户 client001 和 client002 分 别 以 STelnet 方 式 实现 登录 SSH 服 务 器 。 








2. 具体 配置 步骤 






























































根据 





























以 上 配置 思路 ， 再 
(1) 配置 STelnet 登 录 所 用 的 VTY 用 




















结合 3.6.4 节 介绍 的 配置 任务 ， 可 以 得 出 如 下 具体 配置 步 又 。 







































































<HUAWEI> system-view 
[HUAWEH sysnameSSH Server 
[SSH Server] user-interface vty 0 4 


[SSH Server-ui-vty0-4] authentication-mode aaa 


[SSH Server-ui-vty0-4] protocol inbound ssh 


[SSH Server-ui-vty0-4] user privilege level 5 


[SSH Server-ui-vty0-4] quit 























(2) 新 建 
(本 示例 为 huawei@123) ， 


] 户 名 为 client001 的 SSH 用 
































户 界面 属性 ， 包 括 指定 AAA 验证 方式 ， 支 持 SSH 服 务 和 用 户 级 别 
户 ， 且 验证 方式 为 password， 并 为 其 配置 AAA 验证 所 需 的 密码 























] 户 级 别 ( 本 示例 中 为 3 级 ) 和 SSH 服 务 支 持 。 








[SSH Server] ssh user client001 authentication-type password 


[SSH Server] aaa 


[SSH Server-aaa] local-user client001 password cipherhuawei@123 


[SSH Server-aaa] local-user client001 privilege level 3 


[SSH Server-aaa] local-user client001 service-type ssh 


[SSH Server-aaa] guit 
(3) 新 建 























j 户 名 为 dient002 的 SSH 用 户 ， 














验证 方式 为 RSA。 








[SSH Server] ssh user client002 authentication-type rsa 





(4) 在 PC1 和 PC2 上 分 





如 图 3-12 所 示 对 话 村 


(5) 选择 “SSH2 RSA” 单 选项 〈 采 


























别 安装 支持 SSH 服 务 的 Putty 终 端 软 件 。 然 后 在 PC2 上 运行 puttygen.exe 程 序 ， 打 开 
匡 ， 生 成 公 钥 和 私 钥 两 个 文件 ， 供 后 续 使 用 。 









































j 缺 省 的 1024 位 密 钥 ) ， 然 后 单 击 “Generate” 按 钮 ， 进 入 密 钥 生成 




















状态 ， 此 时 只 要 将 鼠标 在 空 





白 处 进行 移动 ， 就 可 以 看 到 生成 的 RSA 密 钥 ， 如 图 3-13 所 示 。 单 击 “Save public 








key” 按 钮 保存 公 钥 文件 名 为 key.pub; 单 击 “Save private key” 按 钮 保存 私 钥 文 件 名 为 private.ppk， 在 弹出 的 提 





示 对 话 框 中 





单 击 “Yes” 按 钮 即 











可 。 这 样 就 生成 了 公 钥 / 私 钥 对 。 





PulIlY Ke7 Generator 


Publc and ptivate key generation for PuT TY 
Key 
No key, 


Actons 
Generate a public/private key pair 


Load an existing private key fle 


Save the generated key 


Parameters 


Type of key to generate: 本 
© ssH1 [RSA] OBsH2Ben 人 SSH2DSA 


Number of bs in a generated key' 1024 





图 3-12 密 钥 生成 对 话 框 





TH 


PulIlY Ke7 Generator 


Public and ptivate key generation for PuT TY 
Key 
Public key for pasting mto OpenSSH authorized_keys2 Re; 
ssh-rsa 
ABAABINzaClyc2EABALBJOAAAEARINOZed5MZ9qPnudmnwpliYhE CZYIOHIVsd 
ayY0AxulKUI77QhAi0*b5cyafsluCcTviCPWHwH9LNSXKF09TmGPMPUUrskX*PbZH5C 


UiYnN9eTtWwDJKk5edsqcsTcTaAiMJCZdoz10eyuApM2f6Je8gyFeo0d79mkpPz187v50 
E= rsa-key 


Key fngerpnmt ssh-rsa 1024 ff:31:19:60:94.6d:f7:50.b8.55.4F.6d:71.3a60.ae 
Key comment 1Sa-key 


Key passphrase' 


Confrm passphrase: 


Actions 


Generate a public/prnivate key pa [seneae | 
Load an existing private key file [| Led | 
Save the generated key Save public key 


Parameters 


Type of key to generate: 
OO ssH1 (RSA) ©®@ 55H2BSA OssH2D5A 


Number of bits in a generated key 1024 








图 3-13 生成 密 钥 后 的 密 钥 生成 对 话 术 


[a 






































(6) 再 在 PC2 上 运行 sshkey.exe 程 序 ， 打 开 如 图 3-14 所 示 对 话 框 ， 单 击 “Browser” 按 钮 ， 在 找到 的 对 话 框 
中 打开 上 一 步 保 存 的 公有 密 钥 文件 key.pub。 然 后 单 击 “Convert(C)” 按 钮 ， 打 开 如 图 3-15 所 示 对 话 框 ， 即 可 
在 “RSA public-key after convert”* 栏 中 见 到 转换 后 的 RSA 公 钥 。 复 制 其 中 的 内 容 ， 以 文件 形式 保存 ， 以 备 后 
用 。 

















ce ssh key convert Eq 


SSH Public-key file name Browse (E) 
ER 


RSA public-key after convert 








Convert (C) 


ee 
Save (8) 


RSA public-key before convert 








图 3-14 SSH 密 钥 转 换 对 话 框 


Ee, ssh key convert 区 ] 


SSH Public-key file nane: Browse B) 
2 
C:\SSH\key. pub 


RSA public-key after convert 








30818702 818100CD 1ACDDOSS SETT9319 FEABSFOE ET669FOA 
5F898844 09961F38 7215B1D6 9838006E BAASZBEF B421023D Convert (C) 
3E6F9732 69FBOSBS 2713BE30 8F7S67C07 80B37DSC SDSD4E61 一 
5F30F514 AEC917F8 F6D91F90 948069SCD PSE4FDS6 E24AESET 
BCASCB1I3 T13880AC C2426S5DA 33D4E7B2 B80A4CD9 FES9TBECS 
457ABD31 23B82692 93F3DTCE EFET4102 0125 


SaveG) 





RSA public-key before convert 





-———— BEGIN SSH2 PUBLIC KEY 一 一 

Comment: “rsa-key” 
AAAAB3NzaC1yc2EAAAABJQAAAIEAzRrNDJZedSWZ9qiprudnrwpfiYhECZYEDIGY 
sday0AxutKUrTTQhAj0+b5cyafsIuccTvjCPWJeHgLN9XFO9TmGPWPUUrsjX+PbZ 
Me WOJKSedsqcsTcTaArMICZdoriOeyuApl2 f6JedVFeo0xIT enkpPr 
1 = 

-~~ ENWD SSIC PUBLIC KEY -~~~ 








图 3-15 生成 公 钥 后 的 SSH 密 钥 转 换 对 话 框 





(7) 在 SSH 服 务 器 端 使 用 rsa local-key-pair create 命 令 生成 本 地 RSA 密 钥 对 《〈 密 钥 位 也 为 1024 位 ) ， 
用 于 服务 器 端 向 SSH 用 户 client002 传 输 数据 时 的 数据 加 密 保 护 。 


[SSH Server] rsa local-key-pair create 





The key name will be: SSH Server_Host 


The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512， 

it will take a few minutes. 
Input the bits in the modulus[default = 2048] :1024 
Generating keyS. . 





十 十 十 十 十 十 十 十 























,十 士 十 十 十 十 十 十 十 

(8) 在 SSH 服 务 器 端 配 置 PC2 端 上 产生 的 RSA 公 钥 ， 并 为 SSH 用 户 创 建 client002 绑 定 在 PC2 上 创建 的 
RSA 公 钥 ， 以 实现 SSH 服 务 器 对 SSH 用 户 client002 的 验证 。 在 执行 public-key-code begin 命 令 后 的 提示 符 下 输 
入 前 面 在 第 2 步 中 得 到 的 dient002 客 户 端 RSA 公 钥 。 

[SSH Server] rsa peer-public-key rsakey001 






















































































Enter "RSA public key" view, return system view with "peer-public-key end". 

[SSH Server-rsa-public-key] public-key-code begin 

Enter "RSA key code" view, return last view with "public-key-code end". 

[SSH Server-rsa-key-code] 30818702 818100CD 1ACDD096 5E779319 F6A88F9E E7669F0A 
[SSH Server-rsa-key-code] 5F898844 09961F38 7215B1D6 98380C6E B4A52BEF B421023D 
[SSH Server-rsa-key-code] 3E6F9732 69FB08B8 2713BE30 8F587C07 80B37D5C 5D3D4E61 
[SSH Server-rsa-key-code] 8F30F514 AEC917F8 F6D91F90 948D89CD F5E4ED58 E24AE5E7 
[SSH Server-rsa-key-code] 6CA9CB13 713680AC C24265DA 33D4E7B2 B80A4CD9 FE897BC5 
[SSH Server-rsa-key-code] 457A8D31 23B82692 93F3D7CE EFE74102 0125 

[SSH Server-rsa-key-code] public-key-code end 

[SSH Server-rsa-public-key] peer-public-key end 

[SSH Server] ssh user client002 assign rsa-key rsakey001 #--- 把 以 上 创建 的 RSA 密 钥 与 dient002 客 户 进行 


























(9) 在 SSH 服 务 器 上 使 能 STelnet 服 务 功 能 ， 并 配置 SSH 用 户 client001、client002 的 服务 方式 为 Stelnet。 


[SSH Server] stelnet server enable 





[SSH Server] ssh user client001 service-type stelnet 
[SSH Server] ssh user client002 service-type stelnet 

(10) 通过 STelnet 登 录 交 换 机 。 
在 PC1 端 的 client001 用 户 打 开 putty 软 件 ， 输 入 交换 机 的 卫 地 址 ， 选 择 协 议 类 型 为 9SHE〈 如 图 3-16 所 
jpassword 验 证 方式 连接 SSH 服 务 器 。 单 击 “Open” 按 钮 即 在 putty 终端 界面 出 现 如 下 提示 ， 然 后 正确 
输入 前 面 所 配置 的 client001 用 户 名 和 密码 ， 按 回 车 键 即 可 成 功 登 录 到 交换 机 。 
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示 ) 》 
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RPuITY Configuration 区 ] 


Category: 
Session Basic options for your PuTTY session 
Logging Specify your connection by host name or |P address 
3 Terminal Host Name [or IP address] Port 
Keyboard 10.137.217.203 22 
Bell Protocal 
Features RS A O j G) 
3 Window JRaw DTIenet (Rlogn (ssH 
Appearance Load, save of delete a stoted session 
Behaviour Saved Sessions 
Translation 
Selection 


Colours Default Settings Load 
-= Connection ee 
Proxy Lsae | 2 
Telnet Delete 
Rlogn 
-SSH 
Auth 
Tunnels 


Close window on exit 
Bugs ~ ~ 


OAalways ONever © Onlyoncleanexit 











About Dpen | Cancel 


图 3-16 PC1 上 的 putty Stelnet 登 录 连 接 配 置 对 话 村 





THI 





login as: client001 
Sent username "client001" 
client001@10.137.217.203's password: 
Info: The max number of VTY users is 8, and the number 
of current VTY users on line is 5. 
The current login time is 2012-08-06 09:35:28. 
<SSH Server> 
在 PC2 端 的 client002 用 户 采 用 RSA 验 证 方式 连接 SSH 服 务 器 。 首 先 也 要 打开 putty 软 件 配 置 对 话 框 ， 输 入 
交换 机 的 IP 地 址 ， 选 择 协议 类 型 为 SSH， 参 见 图 3-16。 然 后 单 击 左 侧 导 航 栏 “Connection SSH”， 出 现 如 图 3- 
17 所 示 对 话 框 ， 在 “Preferred SSH protocol version” 栏 中 选择 “2”( 即 SSH 协 议 版 本 2〉 单 选项 。 再 单 击 左 侧 导 
航 栏 “<Connection SSH” 下 面 的 “Auth”( 验 证 ) ， 打 开 如 图 3-18 所 示 对 话 框 。 
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RPuITY Configuration 


Category: 
3 Session 
Logging 
3 Terminal 
Keyboard 
Bell 
Features 
3 Window 
Appeatance 
Behaviour 
Translation 
Selection 
Colours 
-3 Connection 
Prowy 
Telnet 
Rlogm 
- SSH 
Auth 
Tunnels 
Bugs 


D 





RPuITY Configuration 


Category: 
3 Session 
Logging 
3 Terminal 
Keyboard 
Bell 
Features 
3 Window 
Appearance 
Behaviour 
Translation 
Selection 
Colours 
- Connection 
Proxy 
Telnet 
Rlogin 
SS SSH 
Auth 
Tunnels 
Bugs 








Options controlling SSH connections 
Data to send to the server 


Remote command: 


Protocol options 

[| Don't allocate a pseudo-terminal 
[| Enable compression 

Preferred 55H protocol versior: 


Oliory Oil © O2ony 


Encryption options 
Encryption cipher selection policy: 
AES [SSH 2 on 由 
Blowfish 
3DES 
~ waln below here -- 
DES 


DD Enable non-standard use of single-DES in S5H 2 


图 3-17 SSH 服 务 器 连接 配置 对 话 框 





Options controling SSH authentication 
Authentication methods 
OD Attempt TIS or CryptoCard authentication (SSH1) 
点 ttempt "keyboard-interactive" authentication [55H2 


&uthentication parameters 


DD Alow agent forwarding 
DAlow attempted changes of username in SSH2 


Private key file for authentication: 


C:\SSH\private ppk 














图 3-18 SSH 验 证 配置 对 话 框 





在 “Private Key file for authentication” 文 本 框 中 选择 与 配置 到 服务 器 端的 RSA 公 钥 对 应 的 私 钥 文 件 
private.ppk。 最 后 在 图 3-18 所 示 对 话 框 中 单 击 “Open” 按 钮 ， 在 控制 台中 出 现 的 提示 信息 下 输入 client002} 








名 ， 按 回 车 键 后 即 可 成 功 登 录 到 交换 机 。 


login as: client002 





























Authenticating with public key "rsa-key" 

Info: The max number of VTY users is 8, and the number 
of current VTY users on line is 5. 
The current login time is 2012-08-06 09:35:28. 


<SSH Server> 





3.6.6 配置 用 户 通过 HTTP Web 网 管 登录 交换 机 

















在 配置 用 户 通 过 HTTP 登 录 交 换 机 之 前 ， 也 需要 确保 终端 与 交换 机 之 间 路 由 可 达 。 整 个 HTTP 登 录 方 式 
的 配置 任务 如 下 。 
(1) 上 传 和 加 载 Web 网 页 文件 : 在 使 能 HTTP 服 务 功能 前 ， 需 要 确保 交换 机 上 已 经 加 载 了 Web 网 页 文 














(2) 配置 SSL 策 略 并 加 载 数字 证 书 : 但 仅 在 需 重 新 加 载 SSL 证 书 时 才 执 行 此 项 配置 任务 。 

(3) 配置 HTTP 服 务 功能 : 包括 HTTPS 及 HTTP 服 务 的 使 能 、 端 口号 、 会 话 超时 时 间 等 。 

(4) 配置 HTTP 用 户 : 包括 HTTP 用 户 名 及 密码 、 用 户 级 别 、 接 入 类 型 等 。 这 部 分 与 前 面 的 Console 用 户 
界面 中 的 AAA 验 证 用 户 配置 方法 差不多 ， 具 体 参见 3.4.4 节 表 3-8 中 的 第 6 一 8 步 ， 不 同 的 只 是 在 第 8 步 中 要 使 
] local-user user-name service-type http 命 令 配 置 对 应 用 户 对 HTTP 服 务 的 支持 。 

(5) 配置 HTTP 访 问 控制 : 包括 配置 ACL 规 则 及 HTTP 基 本 访问 控制 列表 ， 提 高 HTTP 访 问 的 安全 性 。 
仪 在 需要 ACL 控 制 用 户 通过 HTTP 方 式 登录 交换 机 时 才 执 行 此 项 配置 任务 。 
(6) 用 户 通过 HTTP 登 录 交 换 机 。 
与 HTTP 登录 交换 机 相关 的 参数 缺 省 配置 如 表 3-20 所 示 。 
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表 3-20 HTTP 登 录 交 换 机 的 相关 参数 缺 省 值 





























参数 缺 省 什 
SSL 策略 有 了 缺 省 SSL 策略 
| HTTP 服务 功能 | 未 使 能 | 
| HTTPS 服务 功能 | 未 使 能 | 
| HTTP 服务 器 监听 端口 号 | 80 | 
| HTTP 会 话 超时 时 间 | 20min | 
| HTTP 用 户 | 用 户 名 ，admin， 密 码 ，admin | 























下 面 介 绍 以 上 配置 中 除 第 4 项 外 的 其 他 五 项 配置 任务 的 配置 方法 。 

1. 上 传 和 加 载 Web 网 页 文件 

华为 $ 系 列 交换 机 出 广 时 在 存储 交换 机 中 就 已 经 保存 了 Web 网 页 文件 ， 首 次 使 用 时 不 需要 上 传 Web 网 页 
文件 〈 但 仍 需要 进行 加 载 操 作 ) 。 当 需要 将 交换 机 从 当前 版 本 升级 至 更 高 版 本 时 ， 必 须 重 新 上 传 Web 网 页 
文件 。Web 网 页 文件 获取 路 径 : 请 先 登录 华为 公司 企业 业务 支持 网 站 
(http://support.huawei.com/enterprise) ， 登 录 后 ， 在 “软件 下 载 > 产品 软件 > 企业 网 络 > 交换 机 > 园区 交换 
机 ”路 径 下 根据 产品 型 号 和 版 本 名 称 ， 下 载 对 应 的 版 本 软件 。 版 本 软件 中 包含 Web 网 页 文件 ， 名 称 为 “产品 - 
软件 版 本 号 .WEB 网 管 文件 版 本 号 .web.7z”。 
可 通过 FTP、SFTP 等 方式 上 传 Web 网 页 文件 ， 具 体 请 参见 本 章 后 面 3.7 节 介绍 的 远程 文件 管理 方法 。 加 
载 Web 网 页 文件 的 方法 很 简单 ， 只 需 在 系统 视图 下 通过 http server load file-name 命 令 加 载 指定 的 Web 网 页 文 
件 即 可 。 

Web 网 页 文件 中 包含 SSL 证 书 ， 用 HTTP 方 式 登 录 时 进行 SSL 验 证 ， 确 保 用 户 信息 的 安全 《当前 HITP 登 
























































































































































































































































录 会 跳 转 至 HTTPS 登 录 ， 登 录 成 功 后 跳 转 











可 HTTP) 。 此 证 书 也 可 以 用 于 HTTPS 方 式 的 登录 ， 同 时 确保 用 户 























信息 及 交互 数据 的 安全 。 另 外 ， 用 户 可 以 重新 加 载 新 的 数字 证 书 。 交 换 机 重启 时 ， 如 果 重 启 前 加 载 的 web 
网 页 文件 不 存在 ，HTTP 服务 功能 将 不 能 使 能 。 如 果 要 取消 当前 加 载 的 文件 ， 必 须 先 加 载 另 外 一 个 文件 ， 








功 


则 无 法 被 取消 


Web 网 页 文 伯 


o 



































F 必 须 保存 在 存储 器 根 目录 下 ， 且 必须 是 “*.web.zip” 或 “*.web.7z” 格 式 ， 为 4 一 64 个 字 








符 ， 不 支持 空格 。 缺 省 情况 下 ， 使 能 HTTP 服务 功能 系统 缺 省 加 载 名 称 为 *.web.7z 的 网 页 文件 ， 可 用 undo 

















http server load 命 令 力 


合 兮 


http server load 信 
































0 载 系统 缺 省 的 Web 网 页 文件 。 如 果 要 使 用 的 Web 网 页 文件 名 不 是 *web.7z， 则 需要 执行 
人 重新 加 载 。 


~ 


【示例 1】 加 载 文 件 名 为 web_1.web.7z 的 Web 网 页 文件 。 
<HUAWEI>system-view 
[HUAWEI] http server loadweb_1.web.7z 


2. (可 选 ) 配置 SSL 策 略 并 加 



































载 数字 证 书 


通过 HTTP 登 录 时 也 会 跳 转 至 通过 HTTPS 登 录 〈 以 保证 登录 时 用 户 信息 的 安全 ) ， 所 以 需要 在 交换 机 上 





为 HTTP 服 务 配 置 SSL 策 略 。 交 换 机 上 提供 






































缺 省 的 SSL 策 略 ， 同 时 Web 网 页 文件 中 也 包含 SSL 证 书 ， 所 以 用 户 


























可 以 不 必 再 上 传 证 

















重新 获取 有 效 证 











这 个 步骤 的 机 





文件 ”这 两 部 分 。 








让， 然后 进行 导 
置 方 法 请 参见 3.6.8 节 介绍 的 通过 HTTPS Web 网 管 方式 登录 交换 机 中 的 “上 传 服务 器 数字 证 
书 文件 及 私 钥 文 件 ”〈 必 须 保 存在 flash: 存储 器 根 目录 的 security 目 录 中 ) 和 “配置 SSL 策 略 并 加 载 数字 证 书 





书 以 及 手动 配置 SSL 策 
F 动 配置 SSL 策 略 。 









































各 。 当然 ， 为 了 保证 安全 性 也 可 以 从 CA (Certificate Authority) 处 













































































当 用 户 手 动 为 HITP 服 务 器 配置 了 SSL 策 略 后 ， 则 以 用 户 配置 的 SSL 策 略 生效 。 
3. 配置 HITP 服 务 功能 
此 处 配置 的 是 HTTP 服 务 属性 和 基本 的 管理 操作 ， 包 括 启用 HTTP、HITPS 服 务 功能 ， 配 置 SSL 策 略 、 
HTTP 会 话 超时 和 释放 HTTP 连 接 。 有 具体 配置 步骤 如 表 3-21 所 示 。 




















HTTP 服 务 端口 、 











































































































表 3-21 HTTP 服 务 功能 的 配置 步 又 




















System-view 
例如 : <HUAWEL> system- 
View 


http secure-server ssl- 
policy policy-name 

例 如: [HUAWEI]http 
secure-server ssl-policy 
http_server 


[上 蜡 | 后 | 广 1 | 


进入 系统 视图 


(可 选 ) 为 服务 器 创建 SSL 策略 。 策 略 名 的 长 度 范围 为 1 一 23 个 字 
符 ， 不 支持 空格 ， 支 持 “ ”、 字 和 母 和 数字 ， 不 区 分 大 小 写 。 缺 省 情 
况 下 ， 交 换 机 提供 缺 省 的 SSL 策略 (Default)， 当 加 载 Web 网 页 文 
件 后 ， 会 自动 加 载 缺 省 的 SSL 策略 ， 而 无 需 手 动 配置 ， 此 步 仅 需 
在 重新 配置 了 SSL 策略 的 情况 下 执行 ， 可 用 undo http secure- 
server ssl-policy 命令 恢复 HTTP 服务 器 的 SSL 策略 为 缺 省 策略 





http secure-server enable 
例 如: [HUAWEDhttp 
Secure- server enable 


http server enable 
例如 : [HUAWED http 
server enable 


http server port port- 
number 

例如 : [HUAWEI] http 
server port 8080 








http timeout timeour 
例如 : [HUAWEI] http 
timeout 15 


free http user-id user-id 


例如 : [HUAWEI] free 
http user-id 90 


使 能 HTTPS 服务 功能 ,在 使 能 HTTP 服务 功能 前 , 必须 先 使 能 HTTPS 
服务 。 执行 本 命令 使 能 HTTP 安全 服务 功能 后 ， 用户 必 须 经 过 认证 
后 才能 通过 浏览 器 输入 网 址 访问 Web 网 管 系统 进行 交换 机 管理 

如 果 Web 网 页 文件 未 被 加 载 或 加 载 不 成 功 , 使 能 HTTPS 服务 会 
提示 失败 ; 如 果 没 有 执行 上 个 步骤 (配置 SSL 策略 )， 系 统 会 自 
动 加 载 缺 省 的 SSL 策略 。 但 此 时 必须 保证 已 加 坎 了 正确 的 包含 
证 书 的 Web 网 页 文件 

人 缺 省 情况 下 ，HTTPS 服务 功能 未 使 能 ，undo http secure-server 
enable 命令 去 使 能 HTTPS 服务 功能 

使 能 HTTP 服务 功能 。 执 行 本 命令 使 能 HTTP 服务 功能 后 ， 可 以 
通过 浏览 器 输入 交换 机 的 IP 地 址 访问 Web 网 管 系统 管理 交换 机 
缺 省 情况 下 ，HTTP 服务 功能 处 于 去 使 能 状态 ， 可 用 undo http 
server enable 命令 用 来 去 使 能 HTTP 服务 功能 

(可 选 ) 配 置 HTTP 服务 器 监听 端口 号 , 取 值 范围 为 80 或 1 025 一 
55 535。 配置 监 昕 端口 号 , 可 以 有 效 防止 攻击 者 对 HTTP 服务 标 
准 端口 的 访问 ， 增 加 交换 机 的 安全 性 

缺 省 情况 下 ，HTTP 服务 器 监听 端口 号 是 80， 可 用 undo http 
server port 命令 恢复 HTTP 服务 器 监听 的 端口 号 到 缺 省 值 

(可 选 ) 配置 HTTP 会 话 的 超时 时 间 〈 也 即 闲置 时 间 )， 取 值 范围 为 
1 一 60 的 整数 分 钟 。 执行 本 命令 后 ,所 有 登录 系统 的 Web 用 户 的 超 
时 时 间 都 相同 。 如 果 用 户 超时 ， 用 户 将 自动 下 线 ，HTTP 服务 器 不 
会 主动 通知 用 户 ， 而 是 等 待 用 户 发 送 下 一 次 请 求 时 再 通知 用 户 
本 命令 是 覆 谥 式 命令 ， 以 最 后 一 次 配置 为 准 。 缺 省 情况 下 ， 会 
话 超时 时 间 为 20min， 可 用 undo http timeout 命令 恢复 HTTP 
服务 器 的 超时 时 间 为 缺 省 值 

(可 选 ) 释放 指定 Web 界 而 编号 的 HTTP 用 户 ， 取 值 范围 为 1 一 
256 的 整数 。 目 前 ， 交换机 只 支持 登录 5 个 HTTP 用 户 , 可 通过 
此 命令 可 以 手动 释放 Web 用 户 界面 

S2700 和 S3700 系列 交换 机 不 支持 本 命令 








4. (可 选 ) 配置 HTTP 访 问 控 制 

与 通过 Console 用 户 界面 和 VTY 用 户 界面 登录 交换 机 一 样 ，Web 网 管 登录 方式 也 可 以 通过 ACL 来 控制 。 
有 户 可 以 通过 基本 ACL 人 允许 指定 的 客户 端 通过 HTTP 方 式 登 录 到 交换 机 ， 以 提高 安全 性 。 一 般 不 需要 配置 。 

当 ACL 中 的 规则 选择 permit 选 项 时 ， 则 允许 指定 源 IP 地 址 的 其 他 交换 机 与 本 交换 机 建立 HTTP 连 接 ; 当 
ACL 的 规则 选择 deny 选 项 时 ， 则 拒绝 指定 源 IP 地 址 的 其 他 交换 机 与 本 交换 机 建立 HTTP 连 接 ; 当 ACL 未 配置 
规则 时 ， 则 允许 任何 其 他 交换 机 与 本 交换 机 建立 HTTP 连 接 。 有 具体 配置 步骤 如 表 3-22 所 示 。 







































































2 


























表 3-22 HTTP 访 问 控 制 的 配置 步骤 

















步骤 命令 说 明 
system-view 
1 例如 : <HUAWEI> system- | 进入 系统 视图 
view 
国 acl [number ]aci-number | 进入 ACL 视图 。HTTP 只 支持 基本 访问 控制 列表 ， 列 表 号 为 
例如 : [HUAWEI] acl 2000 | 2000 一 2999 
rule[rue-id] {deny| 
permit } [source {source- 
address source-wildcard | 
any } |fragment logging | rg Wp 汪 和 we 
3 | 名 wangegooenalsg 到 | 配置 ACL 规则 。 具 体 参 数 说 明 参见 本 书 第 9 章 
例如 : [HUAWEI-acl-basic- 
2000]rule 5 permit source 
192.168.32.10 
quit 
4 例如 : [HUAWEI-acl-basic- | 退回 到 系统 视图 
2000]quit 
配置 通过 基本 ACL 控制 用 户 通过 HTTP 方式 访问 交换 机 。 如 果 
ACL 中 没有 配置 规则 ， 则 HTTP 服务 器 将 不 会 拒绝 用 户 登录 ， 
http acl acl-number 如 果 存 在 已 登录 并 符合 ACL 规则 中 过 滤 条 件 的 用 户 ，HTTP 服 
务 器 不 会 主动 将 客户 端 踢 下 线 , 而 是 等 待 客户 端 发 送 下 一 次 请 求 
5 列 如 : [HUAWEI h ] 
jp ! Tne 时 ， 再 按照 配置 的 ACL 规则 过 滤 用 户 
重复 执行 本 命令 , 新 配置 覆盖 旧 配 置 。 缺 省 情况 下 , 没有 为 HTTP 
服务 器 配置 ACL， 可 用 undo http acl 命令 删除 HTTP 服务 器 的 
ACL 























] 户 通过 HTTP 登 录 交 换 机 





Se 


5. 


完成 以 上 配置 后 ， 就 可 以 在 PC 上 打开 Web 浏 览 





之 间 有 可 达 的 路 由 ) ， 按 回 
管 账号 和 密码 ， wie 





车 键 后 将 显示 如 图 
并 选择 Web 网 


























[交换 机 

3-19 所 示 的 Web 登 录 对 话 框 。 分 别 输 入 之 前 设置 的 Web 网 

管 系统 的 语言 后 从 地 址 栏 中 就 可 看 到 当前 的 登录 页 面 已 跳 转 到 
车 键 即 可 进入 Web 网 管 系统 主页 面 。 此 时 从 地 址 栏 中 可 以 


， 在 地 址 栏 中 直接 输入 http:/IP 《要 确保 PC 也 



























































HTTPS 的 登录 页 面 。 
看 到 ， 页 面 又 跳 转 回 型 
6. HTTP Web 网 














HTTP 页 面 。 登 录 


录 管 理 




















Fi“ 登录 ”按钮 或 直接 按 回 








到 Web 网 管 后 ， 可 以 对 交换 机 进行 管理 和 维护 。 

















登录 成 功 后 ， 可 在 交换 机 VRP 命令 行 界 




















令 碍 看 当前 在 线 














机 执行 display http user [username username ] 命 











用 户 的 摘要 信息 或 指定 用 户 的 详细 信息 ;执行 display http server 命 令 查看 当前 HTTP 服 务 器 信息 。 
用 户 登 录 
HUAWEI 用 户 名 
密码 
验证 码 OBZG 看 不 清 ? 
Language: ”中 文 ~ 
| 登录 重 置 


图 3-19 HTTP Web 网 管 登 录 界 国 


A 





网 





3.6.7 通过 HTTP Web 
































稼 登录 交换 机 的 配置 示例 











本 示例 拓扑 结构 如 图 3-20 所 示 ， 现 要 
务 器 ， 实 现 图 形 化 界面 管理 和 维护 交换 机 。 




















从 PC 上 通 





过 HTTP 方 式 登录 到 交换 机 上 ， 将 交换 机 作为 web 网 管 服 

















1. 





HTTP web 网 管 














如 下 基本 配置 思路 。 








(1) 向 交换 机 上 


(3) 在 AAA 视 


持 。 


(4) 在 浏览 器 地 址 栏 中 输入 交换 机 的 管 

又 

(1) 上 传 并 加 载 Web 网 页 文 从 

牛 上 传 方法 可 
Web 网 页 文件 上 传 后 可 以 i 

webtest.7z〈 粗 体 字 六 
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SS 

















2 体 配 置 步 














上 传 和 加 载 。 文 
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PC 


























3-20 通过 











寺 HTTP 登 录 交 换 机 的 





登录 方式 的 配置 比较 简单 ， 根 据 3.6.6 节 介 


















































名 

















传 并 加 载 Web 网 页 文件 

(2) 同时 使 能 HTTPS 和 HTTP 服 务 功能 ， 西 
间 。 当 然 也 可 以 不 配置 这 些 属性 参数 ， 因 为 它们 都 有 缺 省 值 。 
下 创建 用 于 HTTP Web 网 





o 











0 置 HTTP 












































管 登录 的 本 # 


已 
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通 
分 显示 ) 。 

















<HTTP-Server>dir 
Directory of flash:/ 


Idx Attr 


4 


DD ON UU 人 呈 OP 一 OO 


65,233 KB total 

















Size(Byte) Date 
524,558 Apr 14 2011 16:24:39 private-data.txt 
1,302 Apr 14 2011 19:22:30 back time a 
951 Apr 14 2011 19:22:35 back time_b 


Apr 09 2011 19:46:14 


Apr 10 2011 01:35:54 
Apr 14 2011 04:56:35 
Apr 11 2011 16:18:53 
Apr 13 2011 11:37:40 


(7,289 KB free) 





<HTTP-Server>system-view 


F 。 交换机 存储 器 中 已 
以 通过 FTP、SFTP、SCP 等 传输 
过 dir 用 户 视图 命令 查看 ， 如 


Time 





服务 属性 参数 ， 如 HTTP 服务 监听 ? 


理 IP 地 址 即 可 实 玫 


192.168.0.1/24 


HTTP Server 














配置 示例 拓扑 结构 


























绍 的 配置 任务 ， 以 及 本 示例 的 要 求 可 以 得 出 


























山口 和 超时 时 


























户 账户 ， 配 置 用 户 级 别 和 对 HTTP 服 务 的 文 


























见 成 功 登 录 。 














配置 Web 文件 ， 仅 当 需 


对 要 更 新 Web 网 页 才 需 





要 习 











具 


es 





协议 进行 ， 具 体 将 在 本 章 后 面 3.7 节 介绍 











FileName 


SIC 


421 Apr 09 2011 19:46:14 vrpcfg.zip 
1,308,478 Apr 14 2011 19:22:45 webtest.7z 


logfile 
Snmpnotilog.txt 
security 


lam 


[HTTP-Server| http server loadwebtest.7z 
(2) 使 能 HTTPS 和 HTTP 服 务 功能 。 


[HTTP-Server] http secure-server enable 


[HTTP-Server|] http server enable 





F 所 示 可 以 得 知 交换 机 中 的 Web 文 件 名 为 





有 通过 http server load 命 令 在 交换 机 上 加 载 这 个 已 上 传 的 Web 网 页 文件 。 



































(3) 创建 HTTP 用 户 《 此 处 的 用 户 名 为 admin， 密 码 为 huawei) ， 并 配置 用 户 级 别 《〈 此 处 为 最 高 的 15 





























级 ) 和 对 HTTP 服 务 的 支持 。 
LHTTP-Server] aaa 
[HTTP-Server-aaa] local-user admin password cipher huawei 
[HTTP-Server-aaal] local-user admin privilege level 15 
[HITP-Server-aaa] local-user admin service-type http 
[HTTP-Server-aaal] guit 
(4) 通过 HTTP 协 议 登 录 交 换 机 。 












































在 用 户 PC 的 Web 浏 览 器 地 址 栏 中 直接 输入 http://192.168.0.1〔( 此 处 假设 交换 机 的 管理 IP 地 址 为 


192.168.0.1) ， 按 回 车 键 后 ， 将 显示 如 图 3-19 所 示 的 登录 对 话 框 。 正 确 输 入 HTTP 用 户 名 、 密 码 和 验证 码 ， 


























单 击 “ 登 录 ” 按 钮 或 直接 按 回 车 键 即 可 进入 交换 机 的 Web 网 管 系统 主页 面 。 
































前 状态 ， 可 以 验证 配置 是 否 正确 。 如 下 所 示 : 
[HTTP-Server] display http server 
HTTP Server Status :enabled 
HTTP Server Port :80(80) 
HTTP Timeout Interval :20 


Current Online Users :1 








Maximum Users Allowed :5 

HTTP Secure-server Status : enabled 
HTTP Secure-server Port :443(443) 
HTTP SSL Policy :Default 








3.6.8 配置 用 户 通过 HTTPS Web 网 管 方式 登录 交换 机 




















HTTPS web 网管 方式 比 普通 的 HTTP Web 网 管 方式 更 加 安全 ， 因 为 HTTPS 方 式 将 HTTP 和 SSL 
































过 SSL 对 服务 器 身份 进行 验证 ， 对 传输 的 数据 进行 加 密 ， 从 而 实现 了 对 交换 机 的 安全 管理 。 在 本 

















在 交换 机 的 命令 行 界面 下 执行 display http server 任 意 视 图 命令 可 以 看 到 交换 机 配置 的 HTTP 服 务 器 的 当 





结合 ， 通 
ce 置 用 户 通过 














HTTPS 登录 交换 机 之 前 ， 也 需要 确保 终端 与 交换 机 之 间 路 由 可 达 。 整 个 HTTPS 登 录 方式 的 配置 任务 如 下 。 








(1) 上 传 及 加 载 Web 网 页 文件 : 参见 3.6.6 节 第 1 点 。 

















(2) 上 传 服务 器 数字 证 书 文件 及 私 钥 文件 : 通过 文件 上 传 方式 将 数字 证 书 文件 和 私 钥 文件 J 

















机 。 仅 在 需 重新 加 载 SSL 证 书 时 才 执行 此 项 配置 任务 。 






































(3) 配置 SSL 策 略 并 加 载 数字 证 书 : 仅 在 需 重 新 加 载 SSL 证 书 时 才 执 行 此 项 配置 任务 。 
(4) 配置 HTTPS 服 务 功能 : 包括 HITPS 服 务 的 使 能 、 端 口号 、 会 话 超时 时 间 等 。 有 具体 配置 方法 与 3.6.6 

















上 传 至 交换 














节 第 3 点 介绍 的 HTTP 服 务 功 能 配置 方法 差不多 。 
































(5) 配置 HTTP 用 户 : 包括 HTTP 用 户 名 及 密码 、 用 户 级 别 、 接 入 类 型 等 。 这 部 分 也 与 前 面 的 Console 用 
在 第 8 步 中 要 



























































户 界 面 中 的 AAA 验证 用 户 配 置 方法 差不多 ， 有 具体 参见 3.4.4 节 表 3-8 中 的 第 6 一 8 步 ， 不 同 的 只 是 
使 用 local-useruser-name service-type http 命 令 配 置 对 应 用 户 对 HTTP 服 务 的 支持 。 
(6) 配置 HTTP 访 问 控制 : 包括 配置 ACL 规 则 及 HTTP 基 本 访问 控制 列表 ， 提 高 访问 的 安 
要 ACL 控 制 用 户 通过 HTTP 方 式 登录 交换 机 时 才 执 行 此 项 配置 任务 。 参 见 3.6.6 节 第 4 点 。 
(7) 用 户 通过 HTTPS 登 录 交 换 机 : 通过 HTTPS 方 式 登录 交换 机 。 
与 HITPS 登 录 相 关 的 参数 缺 省 配置 如 表 3-23 所 示 。 
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:。 仅 在 过 








表 3-23 HTTPS 登 录 交 换 机 的 相关 参数 缺 省 值 





参数 缺 省 值 
SSL 策略 有 缺 省 的 SSL 策略 
HTTPS 服务 功能 未 使 能 











HTTPS 服务 器 监听 端口 号 443 
HTTP 会 话 超时 时 放 20min 
HTTP 用 户 用 户 名 : admin， 密 码 : admin 
下 面 仅 介绍 以 上 第 2、3、4、7 项 配置 任务 。 
1. 《可 选 ) 上 传 服务 器 数字 证 书 文件 及 私 钥 文 件 
交换 机 上 提供 缺 省 的 SSL 策 略 ， 同 时 Web 网 页 文件 中 也 包含 SSL 证 书 ， 所 以 用 户 可 以 不 必 再 上 传 证 书 以 
及 手动 配置 SSL 策 略 。 但 为 了 保证 安全 性 ， 可 以 从 CA 处 重新 获取 有 效 证 书 ， 然 后 进行 手动 配置 SSL 策 略 。 
可 使 用 FTP、SFTP 或 CP 方式 将 服务 器 数字 证 书 和 私 钥 文件 上 传 至 交换 机 (具体 上 传 方法 参数 本 章 后 面 
介绍 的 3.7 节 相 关内 容 ) ， 且 必须 保存 在 flash: 存储 器 根 目 录 的 security 目 录 中 ， 如 交换 机 无 此 目录 ， 可 
执行 mkdir security 命 令 创建 。 
证 书 格式 分 为 PEM 格 式 、ASN1 格 式 和 PEFX 格 式 。 昌 然 证 书 的 格式 不 相同 ， 但 是 证 书 的 内 容 一 样 。PEM 
格式 的 证 书 是 最 常用 的 一 种 数字 证 书 格式 ， 文 件 的 扩展 名 是 .pem， 适 用 于 系统 之 间 的 文本 模式 传输 。ASN1 
是 通用 的 数字 证 书 格式 之 一 ， 文 件 的 扩展 名 是 .der， 是 大 多 数 浏览 器 的 缺 省 格式 。PFX 是 通用 的 数字 证 书 格 
式 之 一 ， 文 件 的 扩展 名 是 .pfx， 是 可 移植 的 格式 及 二 进 制 格式 。 
2. (可 选 ) 配置 SSL 策 略 并 加 载 数字 证 书 文 件 
加 载 数字 证 书 文件 的 同时 要 指定 私 钥 文件 ， 具 体 的 配置 步骤 如 表 3-24 所 示 。 
































































































































































































































表 3-24 SSL 策 略 并 加 载 数字 证 书 的 配置 步骤 





命令 





System-view 
例如 :<HUAWEI> system-view 


进入 系统 视图 





ssl policy policy-name 
例如 : [HUAWEI] ssl policy https_der 


创建 SSL 策略 并 进入 SSL 策略 视图 ， 策 略 名 的 长 度 


范围 是 1 一 23 个 字符 ， 不 支持 空格 ， 支 持 “_”、 


和 数字 ， 


字母 
不 区 分 大 小 写 





certificate load pem-cert cert-filename 
key-pair 1 dsa | rsa } key-file key- 
filenameauth-code cipher auth-code 
例如 : [HUAWEI-ssl-policy-https_der] 
certificate load pem-cert servercert. 
pem key-pair dsa key-file serverkey. 
pem auth-code cipher 123456 


加 载 
PEM 
格式 
的 证 
蔬 





certificate load asnl-cert cert-filename 
key-pair { dsa | rsa } key-file key- 
filename 

例如 : [HUAWEI-ssl-policy-https_der] 
certificate load asnl-cert servercert. 
der key-pair rsa key-file serverkey.der 
certificate load pfx-cert cert-filename 
key-pair {dsa|rsa} {mac cipher 
mac-code |key-file key-filename } auth- 
code cipher auth- code 

例如 : [HUAWEI-ssi-policy-https_der] 
certificate load pfx-cert servercert. 
pfx key-pair rsa key-file serverkey. 
pix auth-code cipher %$%$"DIqKik* 
GE*~—‘u4H+LFJ(K-=%5$%5 


加 载 
ASN] 
格式 
的 证 


节 





certificate load pem-chain cer- 
filename key-pair { dsa | rsa } key-file 
key-filenameauth-code cipher auth- 
code 

例如 : [HUAWEI-ssl-policy-https_der] 
certificate load pem-chain chain- 
servercert.pem key-pair rsa key-file 
chain-servercertkey.pem auth-code 
cipher 123456 





3. 配置 HTTPS 服 务 功 能 
HTTPS 服 务 功 能 的 配置 与 3.6.6 节 表 3-24 中 第 3 点 介绍 的 HTTP 功 能 配置 差不多 ， 区 别 就 是 两 点 ， 这 里 不 


需要 表 3-24 中 第 4 步 使 能 HTTP 功 
port port-number 命令 配置 的 是 HTTPS 服 务 器 监听 端口 ， 取 值 范 围 
上 攻击 者 对 HTTPS 服 务 标 准 端 


服务 器 监听 端口 




















可 以 有 效 防 
安全 HTTP 服 务 器 端 监 听 端 口号 是 443。] 
用 户 通 过 HTTPS 登 录 交 换 机 

以 上 配置 后 即 可 在 PC 上 打开 Web 浏 览 





会 忆 
月 2， 









































进行 管理 和 维护 。 











从 后 单 击 “ 登 3 








”按钮 或 直接 按 回 





5. HTTPS Web 网 管 登录 管理 
登录 成 功 后 可 在 交换 机 VRP 命 令 行 执行 display ssl policy [policy-name ] 命令 查看 配置 的 SSL 策 略 及 加 载 














的 数字 证 书 ， 执 行 display http user 命 令 查 看 当前 在 线 月 
HTTPS 服 务 器 信息 。 











本 示例 拓扑 结 
并 使 能 HTTPS 服 务 器 功能 后 ，| 


构 如 图 3-21 









































另外 在 表 3-24 中 第 5 步 的 HTTP 服务 端口 ， 


折 示 的 登录 对 话 框 。 输 入 之 前 设置 的 Web 网 管 账号 和 密码 ， 输 入 验 训 
车 键 即 可 进入 Web 网 管 系统 主页 面 。 登 录 到 Web 网 








] 户 可 通过 HTTPS 登 录 到 交换 机 ， 利 | 


根据 证 书 类 型 ， 选 择 其 中 
的 参数 和 选项 说 明 如 下 。 
(1) cert-filename: 指定 证 书 文件 名 称 , 为 1 一 
64 个 字符 。 该 文件 名 由 上 传 的 文件 决定 ， 必 
须 与 上 传 的 文件 的 文件 名 称 一 致 ， 且 必须 保 
存在 系统 根 目录 下 名 为 security 的 子 目录 下 ， 
如 果 没 有 seeurity 目录 ， 则 需要 创建 此 目录 
(2) dsa: 二 选 一 选项 ， 指 定 密 钥 对 类 型 是 
DSA 
(3) rsa: 
RSA 
(4) key-filename: 指定 密 钥 文件 名 称 , 为 1 一 
64 个 字符 。 该 文件 名 由 上 传 的 文件 决定 ， 必 
须 与 上 传 文件 的 文件 名 称 一 致 ， 且 必须 保存 
在 系统 根 上 月 录 下 名 为 security 的 子 目 录 下 ,如 
果 没 有 security 目录 ， 则 需要 创建 此 目录 
(5) auth-code: 指定 密 钥 文件 验证 码 。 密 钥 
文件 验证 码 用 米 进 行 身份 验证 ， 保 证 全 法 客 
户 端 安全 登录 服务 器 。 输 入 明文 密码 时 为 1 一 
31 个 字符 ;输入 密 文 密码 时 为 32 或 56 个 字 
符 ， 区 分 大 小 写 ， 不 支持 空格 
(6) mac-code: 指定 消息 验证 码 。 消 息 验 证 码 
用 来 保证 报 文 内 容 的 完整 性 ， 即 报 文 内 容 不 
被 算 改 ， 输 入 明文 密码 时 为 1 一 31 个 字符 ; 
输入 密 文 密码 时 为 32 或 56 个 字符 ， 区 分 大 
小 写 ， 不 支持 室 格 

-个 SSL 策略 上 只 能 加 载 一 个 证 书 或 者 证 书 
链 。 如 果 已 经 加 载 了 证 书 或 者 证 书 链 ， 加 载 
新 证 书 或 者 证 书 链 之 前 必须 先 印 载 旧 证 书 或 
者 证 书 链 


-个 命令 。 命令 中 


选 一 选项 ， 指 定 密 钥 对 类 型 是 


















































这 里 要 通 
为 443、1025 一 55535 号 端口 。 配 置 HITPS 
口 的 访问 ， 增 加 交换 机 的 安全 性 。 缺 省 情况 下 ， 

其 他 配置 完全 一 样 ， 参 见 表 3-24 即 可 。 





过 http secure-server 


， 在 地 址 栏 中 输入 “https:WIP address”， 按 回 车 键 后 将 显示 
E 码 ， 并 选择 Web 网 


pera 
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系统 的 语 
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Et 
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后 ， 可 以 对 交换 机 


日 户 信息 ; 执行 display http server 命 令 ， 查 看 当前 


所 示 ， 现 要 求 在 作为 HTTP 服务 器 的 交换 机 上 部 署 SSL 策 略 ， 加 载 数字 证 书 


























Web 页 再 


i 安全 管理 远程 交换 机 。 






192.168.0.1/24 


HTTPS Server 














图 3-21 通过 HTTPS Web 网 管 登录 交换 机 的 配置 示例 拓扑 结构 




















1. 基本 配置 思路 
根据 3.6.8 节 介绍 的 配置 任务 ， 结 合 本 示例 的 具体 要 求 ， 可 得 出 本 示例 的 基本 配置 思路 如 下 。 
(1) 上 传 数字 证 书 和 Web 网 页 文件 ， 将 PC 上 存储 的 数字 证 书 、Web 网 页 文件 上 传 到 作为 HTTPS 服 务 器 
的 交换 机 上 。 
《2) 加 载 数字 证 书 和 Web 网 页 文件 ， 将 交换 机 存储 器 根 目录 下 的 数字 证 书 文件 复制 到 security 子 目录 
中 ， 再 配置 SSL 策 略 并 加 载 数字 证 书 和 Web 网 页 文件 。 
(3) 使 能 HTTPS 服 务 器 功能 ， 配 置 HITPS 服 务 属 性 参数 。 当 然 ， 也 可 不 配置 HITPS 服 务 属 性 参数 ， 
为 它们 都 有 缺 省 值 。 
(4) 在 AAA 视图 下 创建 用 于 HITPS 登录 的 本 地 用 户 账户 ， 并 配置 用 户 级 别 和 对 HTTP 服 务 的 支持 。 
(5) 通过 浏览 器 实现 安全 登录 交换 机 。 
2. 具体 配置 步骤 
(1) 上 传 数字 证 书 文件 和 Web 网 页 文件 。 在 此 仅 以 通过 FTP 方式 上 传 文件 为 例 进行 介绍 。 
<HUAWEI>system-view 
[HUAWEI] sysname HTTPS-Server 
[HTTPS-Server] ftp server enable #--- 使 能 FTP 服 务 器 功能 
#--- 以 下 为 配置 FTP 用 户 的 验证 信息 、 授 权 方 式 和 授权 目录 ， 以 便 用 户 能 通过 FTP 方 式 上 传 数字 证 书 和 
Web 网 页 文件 。 
[HTTPS-Server] aaa 
[HTTPS-Server-aaal] local-userhuawei password cipher hello@123 
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[HTTPS-Server-aaa] local-userhuawei service-type ftp 
[HTTPS-Server-aaal] local-userhuawei privilege level 15 
[HTTPS-Server-aaal] local-userhuawei ftp-directory flash: 
[HTTPS-Server-aaal] guit 
[HTTPS-Server] quit 
在 用 户 终端 PC 的 命令 行 提示 符 中 执行 ftp 192.168.0.1 (192.168.0.1 为 交换 机 的 管理 IP 地 址 〉 命令 成 功 与 
交换 机 建立 FTP 连接 后 ， 然 后 使 用 put local-filename [ remote-filename ] 命令 分 别 向 交换 机 上 传 数字 证 书 文 件 
(包括 服务 器 数字 证 书 和 服务 器 密 钥 这 两 个 文件 ) 和 Web 网 页 文件 。 上 传 成 功 后 ， 数 字 证 书 和 Web 网 页 文 
件 是 保存 在 交换 机 存储 器 根 目 录 下 的 。 在 交换 机 命令 行 下 执行 di 命令 可 看 到 成 功 上 传 的 数字 证 书 和 Web 网 
页 文件 (如 粗 体 字 部 分 所 示 
<HTTPS-Server>dir 
Directory of flash:/ 
ldx Attr Size(Byte) Date Time FileName 
0 -rw- 524,558 Apr 14 2011 16:24:39 private-data.txt 
1 -rw- 1,302 Apr142011 19:22:30 1 servercert pem_ rsa.pem 
2 -rw- 951 Apr142011 19:22:35 1_serverkey_pem, rsa.pem 
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drw- - Apr092011 19:46:14 src 

-rw- 421 Apr 09 2011 19:46:14 vrpcfg.zip 

-rw- 1,308,478 Apr 14 2011 19:22:45 web001.7z 
- Apr102011 01:35:54 logfile 

-rw- 4 Apr14201104:56:35 snmpnotilog.txt 
drw- - Apr112011 16:18:53 security 

drw- - Apr13201111:37:40 lam 


DD ON Om UU 上 ccw 
本 
1 


65,233 KB total (7,289 KB free) 

(2) 配置 SSL 策 略 并 加 载 数字 证 书 。 
#--- 以 下 为 创建 security 目 录 ， 并 将 存储 器 根 目录 下 的 SSL 数 字 证 书 文 件 复制 到 security 目 录 中 。 
<HTTPS-Server>mkdir security/ 
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<HTTPS-Server> copy 1_servercert_pem_rsa.pem security/ 

<HTTPS-Server> copy 1_serverkey_pem _rsa.pem security/ 

完成 后 在 security 目 录 下 执行 dr 命令 可 看 到 复制 成 功 的 数字 证 书 〈 如 粗 体 字 部 分 所 示 ) 。 
<HTTPS-Server>cd security/ 

<HTTPS-Server>dir 








T 

















Directory of flash:/security/ 
ldx Attr Size(Byte) Date Time FileName 
0 -rw- 1,302 Apr13201114:29:31 1_ servercert pem rsa.pem 
1 -rw- 951 Apr132011 14:29:49 1_serverkey_pem_rsa.pem 
65,233 KB total (7,287 KB free) 
下 面 再 来 创建 HTTPS 服 务 器 SSL 策 略 ， 并 通过 certificate load pem-cert 命 令 加 载 PEM 格 式 的 数字 证 书 
(因为 本 示例 中 使 用 的 是 PEM 格 式 的 数字 证 书 ) ， 包 括 服务 器 证 书 和 服务 器 密 钥 这 两 个 文件 。 


<HTTPS-Server>system-view 
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[HTTPS-Server|] ssl policy http_server 

[HTTPS-Server-ssl-policy-http_server] certificate load pem-cert 1_servercert_pem,_rsa.pem key-pair rsa key- 
file 1_serverkey_pem _rsa.pem auth-code cipher123456 

[HTTPS-Server-ssl-policy-http_server] quit 

上 述 步骤 成 功 配置 后 ， 在 交换 机 命令 行 下 执行 display ssl policy 命 令 可 以 看 到 加 载 的 数字 证 书 详细 信 
息 ， 如 下 所 示 。 

[HTTPS-Server] display ssl policy 






































SSL Policy Name: http_server 
Policy Applicants: 
Key-pair Type: RSA 

Certificate File Type: PEM 

Certificate Type: certificate 
Certificate Filename: 1_servercert_pem_rsa.pem 

Key-file Filename: 1_serverkey_pem_rsa.pem 
Auth-code: 123456 


MAC: 
CRL File: 
Trusted-CA File: 
(3) 加 载 新 上 传 的 Web 网 页 文件 〈 如 果 使 用 交换 机 自 带 的 Web 网 页 文件 ， 则 略 过 本 步 ) 。 
[HTTPS-Server| http server loadweb001.7z 
(4) 使 能 HTTPS 服 务 器 功能 ， 并 创建 HITP 用 户 ， 配 置 用 户 级 别 和 对 HTTP 服 务 的 支持 。 
[HTTPS-Server| http secure-server ssl-policyhttp_server 













































































[HTTPS-Server| http secure-server enable 
[HTTPS-Server] aaa 
[HTTPS-Server-aaal] local-user admin password cipherhuawei 
[HTTPS-Server-aaal] local-user admin privilege level 15 
[HTTPS-Server-aaa] local-user admin service-typehttp 
[HTTPS-Server-aaal] guit 
(5) 完成 以 上 配置 后 就 可 以 正式 在 PC 终端 通过 HTTPS Web 登 录 到 交换 机 了 。 

在 PC 浏览 器 的 地 址 栏 中 输入 “https://192.168.0.1”， 将 显示 登录 对 话 框 ， 如 图 3-19 所 示 。 然 后 正确 输入 
HTTP 用 户 名 、 密 码 和 验证 码 ， 单 击 “ 登 录 ” 按 钮 或 直接 按 回 车 键 即 可 进入 交换 机 的 Web 网 管 系统 主页 面 。 此 
时 可 在 交换 机 的 命令 行 界面 下 执行 display http server 命 令 看 到 SSL 策 略 名 称 和 HTTPS 服 务 器 的 状态 〈 如 粗 体 
字 部 分 显示 ) 。 

[HTTPS-Server] display http server 

HITP Server Status : disabled 

HITP Server Port :80(80) 

HTTP Timeout Interval : 20 

Current Online Users :1 
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Maximum Users Allowed :5 

HTTP Secure-server Status :enabled 
HTTP Secure-server Port :443(443) 
HTTP SSL Policy :http_server 












































3.6.10 登录 后 的 常用 管理 操作 

















用 户 通过 Console 口 、Telnet 或 STelnet 方 式 成 功 登 录 交 换 机 后 ， 在 VRP 系 统 命令 行 中 用 户 除了 可 以 对 交 
换 机 进行 业务 配置 外 ， 还 可 以 对 当前 登录 用 户 以 及 交换 机 的 基本 功能 执行 如 下 管理 任务 。 这 些 管 理 任务 在 
日 常 的 交换 机 登录 用 户 管理 中 经 常用 到 。 

(1) 显示 在 线 用 户 。 

(2) 清除 在 线 用 户 。 

(3) 设置 切换 用 户 级 别 的 密码 。 

(4) 切换 用 户 级 别 。 

(5) 锁定 用 户 配置 权限 。 

(6) 发 送 消息 给 其 他 用 户 界 面 。 

(7) 自动 匹配 上 一 级 视图 。 

(8) 锁定 用 户 界面 。 






























































































































































































































































《9) 允许 在 系统 视图 下 执行 用 户 视图 命令 。 

(10) 设置 交换 机 人 允许 的 明文 密码 最 小 长 度 。 

(11) 配置 告警 级 别 。 

下 面 分 别 予 以 介绍 。 

1. 显示 在 线 用 户 

用 户 登 录 系 统 后 ， 可 以 使 用 display users [all ] 查看 每 个 用 户 界 面 的 用 户 登 录 信 息 。 该 命令 已 在 本 章 前 和 
有 介绍 ， 不 再 更 述 。 

2. 清除 在 线 用 户 

当 用 户 需 要 将 某 个 登录 用 户 与 交换 机 的 连接 断 开 时 ， 可 以 先 使 用 display users 命 令 来 查看 当前 交换 机 上 
的 用 户 登录 信息 ， 然 后 执行 Kill user-interface {ui-number | ui-type ui-numberl } 命 令 清除 指定 用 户 界面 下 的 在 
线 用 户 (VRP 系统 下 的 登录 用 户 都 是 与 用 户 界 面 一 一 对 应 的 ， 所 以 清除 用 户 时 只 需要 断 开 对 应 的 用 户 界 四 
的 连接 ， 则 相应 的 用 户 连 接 也 就 断 开 了 ， 不 是 直接 针对 用 户 账 户 进行 操作 的 ) 。 在 清除 用 户 时 系统 会 给 出 
确认 的 。 命 令 中 的 参数 说 明 如 下 。 

(1) ui-number: 二 选 一 参数 ， 指 定 要 清除 用 户 的 用 户 界面 绝对 编号 ， 最 小 值 为 0， 最 大 值 比 系统 支持 
的 用 户 界面 总 数 小 1。 不 同 交 换 机 用 户 界面 取 值 范围 不 同 。 

(2) ui-type ui-number1: 二 选 一 参数 ， 指 定 要 清除 用 户 的 用 户 界 面 类 型 和 用 户 界 面相 对 编号 。 

【示例 1】 断 开 与 user-interface 0 的 连接 。 

<HUAWEI>kill user-interface 0 

Warning: User interface con0 will be killd. Continue? [Y/N]y 

3. 设置 用 户 级 别 的 切换 密码 

如 果 当 前 用 户 级 别 较 低 ， 但 是 需要 对 高 于 用 户 级 别 的 命令 进行 操作 ， 用 户 可 以 执行 super password [ 
leveluser-level ] [ cipher password ] 系统 视图 命令 设置 切换 低级 别 用 户 到 高 级 别 用 户 的 密码 。 输 入 的 密码 可 以 
是 明文 或 者 密 文 ， 当 不 指定 cipher password 可 选 参 数 时 ， 将 采用 交互 方式 输入 明文 密码 ， 当 指定 cipher 
password 可 选 参数 时 ， 既 可 以 输入 明文 密码 也 可 以 输入 密 文 密码 ， 但 都 将 以 密 文 形 式 保 存在 配置 文件 中 。 明 
文 密码 为 6 一 16 个 字符 ， 区 分 大 小 写 ， 密 文 密码 为 32 个 字符 。 输 入 的 明文 密码 至 少 包含 以 下 两 种 类 型 : 大 写 
字母 、 小 写字 母 、 数 字 及 特殊 字符 〈 特 殊 字 符 不 包括 *? ”和 空格 ) 。 采 用 交互 方式 输入 的 密码 不 会 在 终端 
屏幕 上 显示 出 来 。 

【示例 2】 设置 从 低级 别 登 录 的 用 户 切换 到 level-3 级 别 的 切换 密码 为 “abcdefg”。 

<HUAWEI> system-view 

[HUAWEI] super password level 3 cipher abcdefg 

4. 切换 用 户 级 别 
用 户 由 低级 别 切换 到 高 级 别 时 ， 可 执行 super [ level ] 命令 ， 在 系统 提示 符 下 需要 输入 上 面 介绍 的 super 
password 命 令 设置 好 的 切换 密码 。 

如 果 输 入 的 密码 正确 ， 将 切换 到 更 高 级 别 ， 如 果 连 续 3 次 输入 错误 的 口令 ， 将 退回 用 户 视图 ， 仍 保持 现 
有 登录 级 别 。 当 以 低级 别 登录 的 用 户 通 过 super 命 令 切 换 到 高 级 别 时 ， 系 统 会 自动 发 送 trap 信 息 ， 并 记录 在 日 
志 中 ; 如 果 切 换 到 的 级 别 低 于 当前 级 别 ， 则 仅 记 录 日 志 。 

【示例 3】 切换 到 用 户 级 别 3。 在 “Password” 提 示 符 下 输入 切换 到 对 应 级 别 的 密码 ， 但 输入 的 密码 不 会 
在 屏幕 上 显示 的 。 

<HUAWEI> super 3 


Password: 






































































































































































































































































































































































































































































































































































































































LDL 

















































































































































































































Now user privilege is 3 level, and only those commands whose level is equal to or less than this level can be 


used. 


Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE 














5. 锁定 用 户 配置 权限 









































在 多 个 用 户 同 时 登录 系统 进行 配置 时 ， 有 可 能 会 出 现 配 置 冲 突 的 情况 。 为 了 

















配置 权限 互 斥 功能 ， 保 证 同 
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在 锁定 期 间 ， 执 行 锁定 配置 的 用 户 可 以 进行 查询 、 配 置 等 操作 ， 其 他 用 户 只 


系统 视图 下 执行 configuration-occupied timeout timeout-value 命 令 设置 


避免 业务 出 现 异常 ， 可 以 








时 间 只 有 一 个 用 户 可 以 配置 。 此 时 可 执行 configuration exclusive 命 令 锁定 配置 
权限 给 当前 操作 用 户 〈 此 命令 可 在 所 有 视图 下 执行 ) 。 锁 定 用 户 配 置 权 限 后 ， 可 以 明确 地 获取 独 享 的 配置 
权限 ， 其 他 用 户 无 法 再 获取 到 配置 权限 







































































200s。 缺 省 情况 下 ， 锁 定 间 上 
置 的 用 户 信息 。 


























能 进行 查询 操作 。 也 可 在 











绊 行 解锁 时 间 间 隔 ， 取 值 范围 为 1 一 7 
马 仅 为 308。 还 可 以 执行 display configuration-occupied user 命 令 查 看 当前 锁定 配 












































【示例 4】 查 看 当前 锁定 配置 的 用 户 信息 。 从 输出 信息 可 以 看 出 当前 锁定 的 用 户 值 为 34， 使 用 的 用 户 
界面 为 VTY 0， 锁 定时 间 为 2013 年 5 月 1 日 22 时 31 分 36 秒 ， 以 及 其 他 信息 ， 输 出 信息 中 的 具体 字段 说 明 如 表 








3-25 所 示 。 





























<HUAWEI> display configuration-occupied user 


User Index: 34 


User Session Name: VITY0 


User Name: 
IP Address: 10.1.1.1 


Locked Time: 22:31:36 05-01-2013 


Last Configuration Time: 


22:31:36 05-01-2013 


The time out value of configuration right locked is: 30 second(s) 












































3-25 display configuration-occupied user 命 令 输 出 信息 字段 说 明 
































字段 说 明 
User Index 显示 被 锁定 的 用 户 索引 
User Session Name 显示 被 锁定 的 用 户 的 会 话 名 ，VTY0 一 VTY14 
User Name 显示 被 锁定 用 户 的 登录 用 户 名 称 
jp.Addiess 显示 被 锁定 用 户 的 用 户 他 地 址 ， 只 对 VTY 连接 
用 户 有 效 
Locked Time 显示 被 锁定 用 户 的 锁定 配置 集 的 时 间 
Last Configuration Time 显示 被 锁定 用 户 最 后 一 次 下 发 配置 命令 的 时 间 
The time out value of configuration right locked is 显示 配置 权限 锁定 的 时 间 
6. 发 送 消息 给 其 他 用 户 界 面 




















用 户 可 以 在 当前 的 用 户 界面 执行 send { all | ui-typeui-number | ui-numberl } 命 令 发 送 消息 给 其 他 用 户 界 





























(1) all: 多 选 一 选项 ， 


(2) ui-type ui-number: 


(3) ui-numberl: 多 选 一 参数 ， 向 指定 的 绝对 编号 用 户 界 面 发 送 消息 。 
执行 本 命令 后 ， 根 据 系统 提示 输入 要 传递 的 消息 。 使 用 Ctrl+Z 组 合 键 或 回 
合 键 中 止 本 次 操作 。 然 后 根据 系统 提示 选择 是 否 需要 发 送 消息 。 按 下 Y 键 发 送 消 ) 














掉 的 用 户 ， 实 现 用 户 界 面 间 的 消息 传递 。 命 令 中 的 参数 和 选项 说 明 如 下 。 






































向 所 有 用 户 界面 发 送 消息 〈 包 括 当前 没有 登录 的 用 户 界 面 ) 。 
多 选 一 参数 ， 向 指定 的 相对 编号 用 户 界面 发 送 消息 。 










































































车 键 结束 输入 ， 使 用 Ctrl+C 组 





























电 ， 按 下 N 键 取消 发 送 。 





【示例 5】 向 用 户 界面 VTY 0 发 送 消 
到 交换 机 的 用 户 就 会 收 到 这 条 信息 。 
<HUAWEI> send vty 0 





电 。 根 据 提 示 按 下 Y 键 确 





认 后 发 送 消息 。 











EY 


Enter message, end with CTRL+Z or Enter; abort with CTRL+C: 


Hello, good morning! 
Warning: Send the message? [Y/Nl:y 






































































































































Me 


过 








发 送 后 ， 通 过 VTY 0 登录 




























































































7. undo 自 动 匹 配 上 一 级 视图 

可 在 系统 视图 下 执行 matched upper-view 命 令 ， 以 允许 undo 命 令 到 上 一 级 视图 执行 ， 但 只 对 当前 登录 用 
户 有 效 。 这 样 ， 当 用 户 在 某 个 视图 下 执行 非 本 视图 注册 的 undo 命 令 时 ， 系 统 将 自动 跳 转 到 上 一 级 视图 搜索 
该 ndo 命 令 。 如 果 搜 索 成 功 ， 则 该 ndo 命 令 生 效 。 当 上 级 视图 没有 该 undo 命令 时 ， 系 统 就 会 自动 向 更 上 一 
级 视图 进行 搜索 ， 一 直 搜 索 到 系统 视图 ， 不 再 向 上 搜索 。 

缺 省 情况 下 ，undo 命 令 不 自动 到 上 一 级 视图 执行 。 但 是 要 注意 ， 非 确实 必要 ， 不 推荐 配置 这 一 功能 ， 












































否则 很 容易 出 现 配置 错误 ， 引 起 整个 配置 混乱 。 
8. 锁定 用 户 界 面 



























































当 用 户 需 要 特 时 
户 终端 界面 ， 就 像 Windows 系 统 中 的 用 户 桌面 


并 确认 密码 (不 会 显示 ) 。 密 码 为 6 一 16 个 字符 ， 





人 


















































离开 操作 终端 时 ， 为 防止 未 授权 区 
锁定 一 样 。 执 行 本 命令 后 ， 根 据 系统 提示 输入 锁定 
区 分 大 小 写 。 输 入 的 密码 至 少 包含 以 下 几 利 














母 、 小 写字 母 、 数 字 及 特殊 字符 〈 特 殊 字 符 不 包括 <? "和 空格 ) 。 





























系统 锁定 后 ， 如 果 想 

锁定 密码 后 才 可 以 解除 锁定 重新 进入 VRP 系 统 。 
【示例 6】 锁 定 当 前 用 户 界面 。 
<HUAWEI>lock 


Enter Password: 











Confirm Password: 


Info: The terminal is locked. 





次 进入 系统 ， 必 须 先 按 回 





] 户 操作 该 终端 界面 ， 可 以 执行 lock 命 令 锁定 当前 用 


























的 密码 ， 
类 型 : 大 写字 
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9. 人 允许 在 系统 视图 下 执行 用 户 视图 命令 

缺 省 情况 下 ， 系 统 不 允许 在 系统 视图 下 执行 用 户 视图 命令 ， 忆 
便于 在 不 用 切换 视图 的 情况 下 执行 用 户 视图 
置 系统 视图 下 可 执行 的 用 户 视图 命 令 


























日 .他 -人 


是 命令 格式 本 身 ) 。 
【示例 7】 在 系统 视 
[HUAWEI] run dir*.cfg 


Directory of cfcard:/ 


(不 





峰 


























下 查看 交换 机 上 所 有 .cfg 文 件 。 


FileName 


Idx Attr Size(Byte) Date Time 
0 -rw- 11,970 Mar 14 2012 19:11:22 9300 31.cfg 
1 -rw- 12,033 Apr22 2012 17:10:30 9300_31 new.cfg 


509,256 KB total (118,784 KB free) 
10. 设置 交换 机 允许 的 明文 密码 最 小 长 度 


就 像 在 Windows 服 务 器 系统 中 ， 为 了 增加 服务 器 系统 的 安全 性 ， 可 在 其 密码 策略 











车 键 ， 然 后 根 和 





提示 输入 锁定 密码 ， 


有 在 正确 输入 




















/~ 











。 参 数 command-line 为 指定 可 在 系统 视图 下 执行 的 





退出 到 ) 
下 的 命令 ， 可 通过 在 系统 视图 下 执行 run command-line 命令 配 











加 


才能 成 功 执行 。 为 了 





j 户 视 





























体 用 户 视图 命令 


~ 


























也 可 以 限制 为 有 

















置 的 密码 的 最 小 密码 长 度 一 样 ， 在 华为 VRP 系 统 

















有 户 配 置 























限制 为 用 户 账户 配 








的 最 小 密码 长 度 。 可 在 系统 视图 

















下 执行 set password min-length length 命 令 设 置 交 换 机 允许 的 明文 密码 最 小 长 度 ， 使 密码 复杂 性 增加 ， 从 而 提 
高 交换 机 的 安全 性 。 参 数 length 用 来 指定 交换 机 人 允许 的 最 小 明文 密码 长 度 ， 取 值 范围 为 6 一 16 的 整数 。 缺 省 
情况 下 ， 人 允许 的 最 小 明文 密码 长 度 是 6， 可 用 undo set password min-length 命 令 恢复 交换 机 允许 的 最 小 明文 密 
码 长 度 为 缺 省 的 6 位 。 但 该 命令 仅 在 S5700/7700/9700 系列 交换 机 上 支持 (S9300 系 列 目前 也 不 支持 ) 。 
说 明 
以 上 最 小 密码 长 度 的 设置 仅 对 local-user password cipher、set authentication password、super password 和 
lock 命 令 配置 的 明文 密码 具有 最 小 长 度 限制 作用 ， 其 他 命令 不 受 限 制 ， 例 如 OSPF、ISIS、RIP 等 协议 的 密码 
配置 。 执 行 本 命令 后 ， 交 换 机 上 有 关 密 码 的 明文 配置 必须 符合 此 长 度 的 限制 。 但 对 于 恢复 阶段 配置 的 密码 
和 已 经 生效 的 密码 配置 不 会 应 用 此 长 度 限 制 。 
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3.6.11 常见 配置 错误 分 析 与 排除 








本 节 要 介绍 Telnet 和 STelnet 登 录 失 败 的 故障 分 析 与 排除 方法 。 
1. Telnet 登 录 失 败 的 故障 分 析 与 排除 
出 现 Telnet 登录 失败 的 原因 可 能 有 很 多 ， 可 按照 以 下 流程 进行 分 析 与 排除 〈 从 Console 口 登录 到 交换 机 
执行 以 下 命令 ) 。 
(1) 碍 看 所 使 用 的 VTY 用 户 界 面 视图 是 否 多 许 支 持 Telnet 服 务 。 
执行 user-interface vty 命 令 进 入 对 应 用 户 界 面 视 图 ， 然 后 执行 display this 命 令 查 看 对 应 VTY 用 户 界 面 的 
protocol inbound 命 令 配 置 项 是 否 为 telnet 或 者 al 〈 缺 省 情况 下 为 al) 。 如 果 不 是 ， 执 行 protocol inbound { 
telnet | all } 命 令 修 改 配置 ， 以 允许 telnet 类 型 用 户 接 入 交换 机 。 
(2) 查看 登录 交换 机 的 用 户 数 是 否 到 达 了 上 限 。 
执行 display users 命 令 查 看 当前 的 VTY 通 道 是 否 全 部 被 占用 。 缺 省 情况 下 ，VTY 通 道 多 许 的 最 大 用 户 数 
是 5 个 ， 可 执行 display user-interface maximum-vty 命 令 查 看 当前 VTY 通道 允许 的 最 大 用 户 数 。 如 果 当 前 的 
有 户 数 已 经 达到 上 限 ， 可 以 执行 命令 user-interface maximum-vty 15， 将 VTY 通 道 允 许 的 最 大 用 户 数 扩展 到 
15 个 。 
(3) 查看 交换 机 上 VTY 用 户 界 面 视 图 下 是 否 正确 配置 了 ACL。 
执行 user-interface vty 命 令 进 入 对 应 用 户 界 面 视 图 ， 然 后 执行 display this 命 令 查看 对 应 的 VTY 用 户 界面 是 
否 配置 了 ACL 限 制 ， 如 果 配 置 了 ACL 限 制 ， 请 记录 该 ACL 编 号 。 然 后 执行 display aclacl-number 命 令 查看 该 
访问 控制 列表 中 是 否 deny 了 Telnet 客 户 端的 地 址 。 如 果 是 ， 则 在 ACL 视 图 下 执行 undo rule rule-id 命 令 删除 该 
deny 规 则 ， 再 执行 rulepermit source source-ip-address soucer-wildcard 命 令 修改 访问 控制 列表 ， 以 允许 客户 端 
的 IP 地 址 访问 。 
(4) 查看 VTY 用 户 界 面 视图 下 是 否 正确 设置 登录 验证 。 
如 果 使 用 authentication-mode password 命 令 配置 了 VTY 线 路 下 的 登录 验证 方式 为 密码 验证 方式 ， 则 必须 
在 登录 时 正确 输入 此 密码 ;如 果 使 用 authentication-mode aaa 命 令 设 置 验证 方式 为 AAA 验证 ， 则 必须 使 用 
local-user user-name password 命 令 创 建 AAA 本 地 用 户 ， 并 配置 密码 。 
2. STelnet 登 录 失 败 
如 果 出 现 STelnet 登 录 到 SSH 服 务 器 失败 ， 则 需要 按照 以 下 流程 进行 故障 分 析 与 排除 (从 Console 口 登录 
或 者 Telnet 方 式 登录 到 交换 机 执行 以 下 命令 )。 
(1) 查看 VTY 用 户 界面 视图 下 是 否 允 许 文 持 SSH 服 务 。 
执行 user-interface vty 命 令 进 入 对 应 用 户 界 面 视图 ， 然 后 执行 display this 命 令 查 看 VTY 用 户 界 面 的 
protocol inbound 是 否 为 ssh 或 者 al1。 如 果 不 是 ， 则 执行 protocol inbound { ssh | all } 命 令 修改 配置 ， 以 允许 
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STelnet 类 型 用 户 接 入 交换 机 。 





























(2) 查看 登录 SSH 服 务 器 端的 用 户 数 是 否 到 达 了 上 限 。 
执行 display users 命 令 查看 当前 的 VTY 通 道 是 否 全 部 被 占用 。4 
令 查看 当前 VTY 通道 允许 的 最 大 用 户 数 。 如 果 当 
前 的 用 户 数 已 经 达到 上 限 ， 可 以 执行 命令 user-interface maximum-vty 15， 将 VTY 通 道人 允许 的 最 大 用 户 数 扩展 














是 5 个 ， 可 以 先 执行 display user-interface maximum-vty 命 








到 15 个 。 












































(3) 查看 SSH 服 务 器 端 上 VTY 用 户 界面 下 是 否 绑 定 了 ACL。 
执行 user-interface vty 命令 进入 对 应 的 SSH 用 户 会 使 用 的 界面 视图 ， 然 后 执行 display this 命 令 查 看 VTY 


























































































































决 省 情况 下 ，VTY 通 道 多 许 的 最 大 用 户 数 







































































用 户 界 面 是 否 配置 了 ACL 限 制 ， 如 果 配 置 了 ACL 限 制 ， 请 记录 该 ACL 编 号 。 再 











执行 display aclacl-number 命 














令 查 看 该 访问 控制 列表 中 是 否 deny 了 Telnet 客 户 端的 地 址 。 如 果 是 ， 则 在 ACL 视 图 下 执行 undo rule rule-id， 
人 














命令 删 区 











允许 客户 端的 卫 地 址 访问 。 
(4) 查看 SSH 客 户 端 和 服务 器 上 SSH 版 本 是 否 兼 











台 


























该 deny 规 则 ， 再 执行 rulepermit source source-ip-address soucer-wildcard 命 令 修改 访问 控制 列表 ， 以 





执行 display ssh server status 命 令 查 看 SSH 版 本 信息 。 如 果 使 月 
需要 执行 ssh server compatible-ssh1x enable 命 令 配 置 SSH 服 务 器 
































(5) 查看 SSH 服 务 器 端的 SSH 服 务 是 否 启动 。 








目的 是 SSHv1 版 本 的 客户 端 登录 服务 器 ， 则 




















容 SSHv1 版 本 。 





执行 display ssh server status 命 令 查看 SSH 服 务 器 端 配置 信息 。 如 果 SSH 服 务 器 功能 没有 使 能 ， 则 执行 
如 下 stelnet server enable 命 令 使 能 SSH 服 务 器 端的 STelnet 服 务 。 
(6) 查看 在 SSH 服 务 器 端 是 否 配置 了 RSA 或 DSA 公 钥 。 
当 交 换 机 作为 SSH 服 务 器 时 必须 配置 本 地 密 钥 对 ， 执 行 display rsa local-key-pair public 或 display dsa 
local-key-pair public 命 令 查 看 当前 服务 器 端 密 钥 对 信息 。 如 果 显 示 信 息 为 空 ， 则 表明 没有 配置 服务 器 端 密 钥 









































对 ， 执 行 rsa local-key-pair create 或 dsa local-key-pair create 命 令 创 建 。 














(7) 查看 SSH 服 务 器 端 上 是 否 配置 了 SSH 用 户 。 




















执行 display ssh user-information 命 令 查看 SSH 用 户 的 配置 信息 。 如 果 不 存在 配置 信息 ， 请 在 系统 视图 下 
执行 ssh user、ssh user authentication-type 和 ssh user service-type 命 令 新 建 SSH 用 户 ， 并 正确 配置 SSH 用 户 的 














验证 方式 和 SSH 用 户 的 服务 方式 。 
(8) 查看 SSH 客 户 端 是 否 使 能 了 首次 验证 功能 。 



































在 系统 视图 下 执行 display this 命 令 查 看 SSH 客 户 端 是 否 使 能 ] 






























































SSH 客 户 端 首次 验证 功能 。 如 果 没 有 使 











能 ， 则 STelnet 客 户 端 第 一 次 登录 SSH 服 务 器 时 由 于 对 SSH 服 务 器 的 RSA 公 钥 有 效 性 检查 失败 ， 而 导致 登录 
服务 器 失败 ， 此 时 需要 执行 ssh client first-time enable 命 令 使 能 SSH 客 户 端 首次 验证 功能 。 使 能 了 SSH 客户 
端 首次 认证 功能 后 ， 当 STelnet/SFTP 客 户 端 第 一 次 登录 SSH 服 务 器 时 不 对 SSH 服 务 器 的 RSA 或 DSA 公 钥 进 行 
有 效 性 检查 ， 因 为 此 时 STelnet/SFTP 客户 端 还 没有 保存 SSH 服务 器 的 RSA 或 DSA 公 钥 。 





















































3.7 远程 文件 管理 











交换 机 中 所 有 的 文件 保存 在 存储 器 中 ， 可 通过 多 种 方式 实现 对 存储 器 中 本 地 文件 的 管理 









































前 面 介绍 的 































































































通过 Console 口 、MiniUSB 口 或 者 Telnet、STelnet 方 式 直接 登录 到 交换 机 的 VRP 系 统 后 ， 就 可 以 对 交换 机 上 的 





VRP 文 件 系 统 进行 全 面 的 管理 ， 具 体 的 管理 方法 参见 本 书 第 2 章 2.4 节 。 除 此 之 外 ， 还 可 通过 一 些 文件 传输 协 
议 连接 、 访 问 交 换 机 ， 进 行 一 些 基本 的 文件 管理 工作 和 文件 传输 操作 。 同 时 也 可 以 将 当前 交换 机 作为 客户 






































端 ， 通 过 多 种 方式 实现 对 其 他 交换 机 文件 的 访问 。 因 篇 





另 原 因 > 寿 





E 此 仪 介绍 将 交换 机 作为 服务 器 端 进行 的 





pk 


远程 文件 管理 和 传输 配置 。 











3.7.1 文件 管理 方式 的 支持 











目前 ， 在 华为 系列 交换 机 中 用 户 可 以 通过 Console 
系统 ， 通 过 FTP、TFTP、SFTP、SCP 或 FTPS 方 式 进 


以 分 别 充当 服务 器 和 客户 端的 角色 。 
(1) 交换 机 作为 服务 器 : 可 以 从 终端 访问 交换 机 ， 实 现 对 本 交换 机 文件 的 管理 ， 以 及 与 终端 间 的 文件 


传输 操作 。 


(2) 交换 机 作为 客户 端 访问 


交换 机 间 进 行文 件 传输 操作 。 








行 远程 文件 管 











口 或 MiniUSB 口 、Telnet、STelnet 登 录 方 式 直接 登录 
















































































。 交换机 在 进行 文件 管理 的 过 程 中 ， 可 











其 他 交换 机 《服务 器 ) : 可 以 实现 管理 其 他 交换 机 上 的 文件 ， 以 及 与 其 他 


对 于 TFTP 方 式 ， 交 换 机 只 支持 客户 端 功能 ， 对 于 FTP、SFTP、SCP 以 及 FTPS 方 式 ， 交 换 机 均 支 持 服 务 
器 与 客户 端 功 能 。 以 上 这 些 文件 管理 方式 的 应 用 场景 ， 优 缺点 如 表 3-26 所 示 ， 用 户 可 以 根据 需求 选择 其 中 








表 3-26 文件 管 


应 用 场景 








HH 





优点 





方式 比较 


缺点 





通过 Console 口 、Telnet 或 
STelnet 方式 登录 交换 机 ， 
对 存储 器 .目录 和 文件 进行 
管理 ,特别 是 对 存储 器 的 操 
作 需 要 通过 此 种 方式 


对 存储 器 、 目 录 和 
文件 的 管理 直接 通 
过 登录 交换 机 完 
成 ， 方 便 快 捷 


只 是 对 本 交换 机 进行 文件 操 
作 ， 无 法 进行 文件 的 传输 





适用 于 对 网 络 安全 性 要 求 

` 是 很 高 的 文件 传输 场景 
中 ,广泛 用 于 版 本 升级 等 业 
务 中 


配置 较 简单 ， 支 持 文 
件 传输 以 及 文件 、 目 
录 的 操作 ; 可 在 两 个 
不 同文 件 系统 主机 
之 间 传 输 文 件 。 具 
有 授权 和 验证 功能 


明文 传输 数据 ， 存 在 


全 隐患 





在 网 络 条 件 良好 的 实验 室 
局 域 网 中 , 可 以 使 用 TFTP 
进行 版 本 的 在 线 加 载 和 升 
级 。 适 用 于 客户 端 和 服务 
器 之 间 不 需要 复杂 交互 的 
环境 


所 占 的 内 存 要 比 
FTP 小 ， 只 支持 文 
件 传输 


交换 机 只 支持 TFTP 客户 端 功 
能 ， 只 支持 文件 传输 ， 不 支持 
交互 操作 ，TFTP 没有 授权 和 验 
证 ， 且 是 明文 传输 数据 ， 存 在 
安全 隐患 ， 易 于 网 络 病毒 传输 
以 及 攻击 





适用 于 网 络 安全 性 要 求 高 
的 场景 ,目前 被 广泛 用 于 日 
志 下 载 .配置 文件 备份 等 业 
务 中 





适用 于 网 络 安全 性 要 求 高 ， 
目 文件 上 传 下 载 效率 高 





一 种 。 
文件 管理 方式 
直接 登录 系统 
说 明 





因为 像 通过 Console 口 、MiniUSB 口 、Telnet、STelnet 方 式 登 录 交 换 机 的 方法 在 本 章 前 





绍 ， 再 加 上 登录 后 的 本 地 文 伯 


适用 于 网 络 安全 性 要 求 高 
目 不 提 供 普通 FTP 功能 的 
场景 











数据 进行 了 严格 加 
密 和 完整 性 保护 ， 
安全 性 高 。 支 持 文 
件 传输 及 文件 、 目 
录 的 操作 

在 安全 性 方面 ， 与 
SFTP 一 样 。 在 客户 
端 与 服务 器 连接 的 
同时 完成 文件 的 上 
传 、 下 载 操 作 〈 即 
连接 和 复制 操作 使 
用 一 条 命令 完成 )， 
效率 较 高 


配置 较 复杂 。 在 交换 机 上 可 以 
同时 配置 SFTP 功能 和 普通 FTP 
功能 。( 这 一 点 与 FTPS 方式 相 
比 : FTPS 是 不 可 以 同时 提供 
FTPS 和 普通 FTP 功能 的 ) 


配置 较 复杂 (与 SFTP 方式 的 
配置 非常 类 似 )， 但 不 支持 交 
互 操作 





利用 数据 加 密 、 身 
份 验证 和 消息 完整 
性 验证 机 制 

于 TCP 

应 用 层 协议 提供 安 
全 性 保证 





























配置 较 复杂 , 需要 预先 从 CA 处 
获得 一 套 证 书 。 如 果 配 置 了 
FTPS 服务 ， 则 需 关 闭 普通 FTP 
服务 功能 








面 已 有 全 夯 














介 














F 系 统管 理 方法 已 在 第 2 章 详细 介绍 ， 故 在 此 不 再 闭 述 ， 参 见 即 可 。 本 市 仅 介绍 

















通过 PC 终端 的 FTP、SEFTP、SCP、FTPS 客 户 端 软件 访问 交换 机 《此 时 交换 机 作为 服务 器 端 ) 进行 远程 文件 


只 


里 的 配置 方法 。 





3.7.2 通过 FTP 进 行文 件 操作 








用 户 可 以 使 用 FTP 协 议 在 本 地 与 远程 终端 之 间 进 行文 人 











操作 ， 在 版 本 升级 等 文件 业务 操作 中 此 协议 广泛 


应 用 。 配 置 前 需要 确保 终端 与 交换 机 之 间 路 由 可 达 和 终端 支持 FTP 客 户 端 软件 。 但 使 用 FTP 协 议 存 在 安全 风 
险 ， 建 议 使 用 SFTP 或 FTPS 方 式 进行 文件 操作 。 





1. 配置 任务 


通过 FTP 进 行文 件 操作 的 配置 任务 如 下 所 示 (第 1~3 步 之 间 没 有 严格 的 配置 顺序 〉: 


(1) 配置 FTP 服 务 器 功能 及 参数 : 使 能 FTP 服 务 器 ， 配 置 FTP 服 务 器 


超时 断 连 时 间 。 











(2) 配置 FTP 本 地 上 









































户 : 配置 本 地 用 户 的 服务 类 型 、/ 
(3) (可 选 ) 配置 FTP 访 问 控制 西 
在 需要 通过 ACL 进 行 FTP 访 问 控 制 时 
(4) 用 户 通 过 FTP 访 问 交 换 机 : 




















选用 
从 终 





c 秆 | 
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端 通过 FTP 访 问 交 换 机 。 





























] 户 级 别 及 授权 访问 目录 等 。 
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与 FTP 文 件 操作 方式 的 相关 参数 缺 省 配置 为 : FTP 服 务 器 功能 关闭 ， 监 听 21 号 TCP 端 


户 : 
下 




















看 介 绍 具 体 的 配置 任务 。 


2. 配置 FTP 服 务 器 功能 及 参数 


FTP 服 务 器 功能 的 使 能 和 参数 配置 比较 简单 ， 


步骤 





表 3-27 FTP 服 务 器 功能 使 能 及 参数 的 配置 步骤 


命令 
system-view 
例如 : <HUAWEI> 
system-view 


ftp server port port- 
number 

例如 : [HUAWEI] fp 
selVer port 1088 


ftp server enable 
例如 : [HUAWEHftp 
server enable 





具体 如 表 3-27 所 示 。 








取 





说 阴 
进入 系统 视图 


(可 选 ) 指定 FTP 服务 器 端口 号 ， 取 值 范围 为 21 或 1 025 一 55 535 
的 整数 。 缺 省 情况 下 , FTP 服务 器 端 监听 端口 号 是 21, 可 用 undo ftp 
server port 命令 恢复 缺 省 值 

【说 明 〗 当 服务 器 正在 监听 的 端口 号 是 21 时 ，FTP 客户 端 登 录 时 可 以 不 
指定 端口 号 ,因为 21 号 端口 是 FTP 服务 器 的 缺 省 端口 ; 如 果 是 其 他 监听 
端口 号 ,FIP 客户 端 登 录 时 必须 指定 对 应 的 端口 号 。 但 客户 端的 端口 号 必 
须 与 服务 器 端 指 定 的 端口 号 一 致 。 但 在 变更 端口 前 需要 确保 FIP 服务 处 
于 非 使 能 状态 , 否则 需要 先 执行 undo ftp server 命令 关闭 服务 。 使 用 本 命 
令 变 更 端口 号 后 需要 执行 fp server enable 命令 重新 使 能 FTP 服务 

在 交换 机 上 使 能 FIP 服务 器 功能 。 缺 省 情况 下 ， 交 换 机 上 的 FTP 
服务 器 功能 是 关闭 的 , 可 用 undo ftp server 命令 关闭 交换 机 的 FTP 
服务 嚣 功能。 关闭 FIP 服务 器 功能 后 ， 示 登录 的 用 户 将 无 法 登录 
FTP 服务 器 。 已 经 登录 到 该 FTP 服务 器 上 的 用 户 , 除了 退出 登录 的 
操作 外 ， 不 能 再 执行 任何 操作 


属性 参数 ， 如 端 











ftp server-source { -3 
Source-ip-address | -i 
interface-type interface- 
num } 

例如 : [HUAWEII]ftp 
server-sourcei 
loopback0 





(可 选 ) 指定 FTP 服务 器 的 源 地 址 或 源 接口 ， 实 现 对 交换 机 进出 报 
文 的 过 滤 ， 保 证 安全 性 。 命 令 中 的 参数 说 明 如 下 : 

e source-ip-address: 二 选 一 参数 ， 用 来 指定 FTP 服务 器 源 卫 地 址 
e interface-type interface-num: 二 选 一 参数 ， 用 来 指定 FTP 服务 器 
的 源 接口 

但 FIP 服务 器 端 指定 的 源 地 址 只 能 是 交换 机 的 LoopBack 接口 下 地 址 或 
LoopBack 接口 。 配置 了 服务 器 的 源 地 址 后 ， 登 录 服 务 器 时 所 输入 的 服务 
器 地 址 必须 与 该 命令 中 配置 的 一 致 ， 否则 无 法 成 功 登 录 。 如 果 在 配置 此 命 
令 前 ，FTP 服务 已 经 使 能 ， 在 则 在 配置 本 命令 后 FIP 服务 将 重新 启动 
缺 省 情况 下 ,FTP 服务 器 发 送 报 文 的 源 地 址 为 0.0.0.0 (代表 任 意 下 
地 址 )， 可 用 undo ftp server-source 命令 恢复 FIP 服务 器 发 送 报 文 
的 源 地 址 为 缺 省 值 











口号 、 源 IP 地 址 、 


于 控制 FTP 用 户 访问 的 ACL 列 表 ， 提 高 FTP 访 问 的 安全 性 。 仅 











口 ， 无 FTP 本 地 上 











ftp timeout minutes 


例如 : [HUAWEI] ftp 
timeout 20 








(可 选 ) 配置 FTP 连接 最 大 空闲 等 待 时 间 ， 取 值 范 围 为 (1 一 35791) 
整数 分 钟 

【说 明 】〗 用 户 登 录 到 FTP 服务 器 后 如 果 连 接 异 常 中 断 或 用 户 非 正常 
中 断 连接 ，FTP 服务 器 是 无 法 知道 的 ， 因 而 连接 仍 保持 着 。 为 防止 
这 类 情况 发 生 , 使 用 连接 空闲 时 间 ， 当 连接 在 一 定时 间 内 没有 进行 
命令 交互 ，FTP 服务 器 即 可 认为 连接 已 经 失效 ， 而 断 开 连接 

缺 省 情况 下 ， 连 接 空闲 时 间 为 30min， 可 用 undo ftp timeout 命令 
恢复 缺 省 的 连接 空闲 时 间 


























( 续 表 ) 


【示例 1】 设 置 FTP 服 务 器 的 源 地 址 为 LoopBack0 接 口 。 在 配置 应 用 前 系统 会 先 给 出 一 个 FTP 服 务 器 将 











重启 的 警告 提示 。 确 认 后 才 正 式 应 用 配置 。 











<HUAWEI>system-view 


























[HUAWEI] ftp server-source -i loopback0 


Warning: To make the server source configuration take effect, the FTP server will be restarted. Continue? 


[YN]: y 


Info: Succeeded in setting the source interface of the FIP server to LoopBack0. 


Info: Succeeded in starting the FIP server. 








3. 配置 FTP 本 地 用 户 

















当 用 户 通过 FTP 进 行文 件 操作 时 ， 需 要 在 作为 FTP 服 务 器 的 交换 机 上 配置 本 地 | 
AAA 验证 方式 ) 、 指 定 用 户 的 服务 类 型 以 及 可 以 访问 的 目录 ， 否 则 / 








的 配置 步骤 如 表 3-28 所 示 。 

































































表 3-28 FTP 本 地 用 户 的 配置 步骤 








system-view 
例如 : <HUAWEI> 
System- view 


进入 系统 视图 





aaa 
例如 : [HUAWEI] aaa 


进入 AAA 视图 





local-user user-name 
password cipher 
password 

例如 : [HUAWEI-aaa] 
local-user winda 
password cipher 123456 


local-user user-name 
privilege level /eve/ 

4 例如 : [HUAWEI-aaal 
local-user winda 
privilege level 5 


配置 本 地 用 户 名 和 密码 。 缺 省 情况 下 ， 系 统 中 没有 本 地 用 户 ， 也 
不 支持 FTP 匿名 访问 。 本 命令 在 本 章 前 面 已 多 次 介绍 , 参见 即 可 





配置 本 地 用 户 级 别 。 本 命令 在 本 章 前 面 已 多 次 介绍 ， 参 见 即 可 。 
但 此 处 必须 将 用 户 级 别 配置 在 3 级 或 3 级 以 上 , 否则 FTP 连接 将 
无 法 成 功 。 

缺 省 情况 下 ， 本 地 用 户 (如 Telnet 用 户 、SSH 用 户 ) 的 优先 级 由 
对 应 的 用 户 界面 优先 级 决定 ， 可 用 undo local-user user-name 
privilege level 命令 将 指定 的 本 地 用 户 的 优先 级 恢复 为 缺 省 配置 





local-user user-name 
service-type ftp 

5 例如 : [HUAWEI-aaa] 
local-user winda 
service-type ftp 





配置 本 地 用 户 的 服务 类 型 为 FTP。 缺 省 情况 下 ， 本 地 用 户 可 以 使 
用 所 有 的 接 入 类 型 ,包括 8021x (支持 802.1x 认证 的 用 户 )、bind 
(IP 会 话 用 户 )、ftp (FTP 连接 用 户 )、http (HTTP 连接 用 户 )、 ppp 
(PPP 连接 用 户 )、ssh (STelnet 连接 用 户 )、telnet (Telnet 连接 用 
户 )、terminal (Console 口 或 者 MiniUSB 口 连接 用 户 ) 和 web (Web 
认证 用 户 ), 可 用 undo local-user user-name service-type 命令 将 指 


定 的 本 地 用 户 的 接 入 类 型 恢复 为 支持 所 有 接 入 类 型 





] 户 名 及 口令 (进行 的 是 
j 户 将 无 法 通过 FTP 访 问 交换 机 。 有 具体 





( 续 表 ) 


命令 


说 明 








local-user user-name 
ftp-directory directory 
例如 : [HUAWEI-aaa] 
local-user winda ftp- 
directory flash:/ 





配置 本 地 用 户 的 FTP 授权 访问 目录 〈 包 括 完 整 的 目录 路 径 )， 为 
1 一 64 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 

当 有 多 个 FTP 用 户 且 有 相同 的 授权 目录 时 ， 可 以 执行 set default 
ftp-directory directory 命令 为 FTP 用 户 配置 缺 省 工作 目录 。 此 时 ， 
不 需要 通过 本 命令 为 每 个 用 户 配置 授权 目录 

缺 省 情况 下 ， 本 地 用 户 的 FTP 目录 为 空 ， 可 用 undo local-user 
user-name ftp-directory 命令 将 指定 的 本 地 用 户 的 FTP 目录 删除 





【示例 2】 设 置 本 地 用 户 hello@huawei.net 的 优先 级 为 6。 
<HUAWEI>system-view 


[HUAWEI] aaa 


[HUAWEI-aaa] local-user hello@huawei.net privilege level 6 


【示例 3】 设 置 本 地 用 户 hello@huawei.net 的 FTP 目 录 为 flash:/。 
<HUAWEI>system-view 


[HUAWEI] aaa 





[HUAWEI-aaa] local-userhello@huawei.net ftp-directory flash:/ 


4. (可 选 ) 配置 FTP 访 问 控 种 
用 户 可 以 配置 FTP 访 问 控制 列表 ， 实 现 只 允许 指定 的 客户 端 登录 到 交换 机 ， 以 提高 安全 性 。 当 ACL 中 的 
规则 选择 permit 选 项 时 ， 则 允许 指定 源 卫 地址 的 其 他 交换 机 与 本 交换 机 建立 FTP 连 接 ， 当 ACL: 











i 



































的 规则 选择 


deny 选 项 时 ， 则 拒绝 其 他 交换 机 与 本 交换 机 建立 FTP 连 接 ; 当 ACL 未 配置 规则 时 ， 则 允许 任何 其 他 交换 机 与 
体 配 置 步骤 如 表 3-29 所 示 。 


本 交换 机 建立 FTP 连 接 。 


日 

















~™ 


步骤 








表 3-29 FTP 访 问 控 制 的 配置 步骤 


命令 


说 明 





System-view 


例如 : <HUAWEI> system-view 


进入 系统 视图 





acl [ number ] aci-numpber 
例如 : [HUAWEI] acl 2001 


进入 ACL 视图 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) number: 可 选项 , 指定 是 由 数字 标识 的 一 个 基本 ACL 
(2)acl-number: 指定 用 于 控制 FTP 用 户 访问 的 基本 ACL 
的 编号 ， 取 值 范围 为 2000 一 2999 的 整数 (规则 中 的 源 
JP 地 址 就 是 允许 或 者 禁止 进行 FTP 访问 的 用 户 计算 机 
的 耳 地 址 或 所 在 网 段 ) 
可 由 undo acl { [number ] acl-numpber | all } 删 除 指 定 的 
ACL 














rule [ rule-id ] { deny | permit } 





配置 ACL 规则 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) rule-id: 指定 ACL 的 规则 ID。 如 果 指 定 ID 的 规 
则 已 经 存在 ， 则 会 在 旧 规 则 的 基础 上 徐 加 新 定义 的 规 
则 ， 相 当 于 编辑 一 个 已 经 存在 的 规则 (通过 这 种 方法 可 














[ source {source-address source- 
wildcard | any } | fragment logging| 
time-range time-name ] 

例如 : [HUAWEI-acl-basic-2001] 
rule permit source 192.168.32.1 0 











则 使 用 指定 的 ID 创建 一 个 新 规则 , 并 且 按 照 
决定 规则 插入 的 位 置 。 


以 修改 现 有 ACL 规则 ); 如 果 指 定 ID 的 规 由 


叫 不 存在 ， 
ID 的 大 小 


如 果 不 指定 ID， 则 增加 一 个 新 
规则 时 自动 会 根据 设置 的 ID 步 长 为 这 个 规 贝 


则 分 配 一 个 


ID, ID 按照 大 小 排序 , 规则 ID 的 步 长 由 step step-value 


命令 指定 ， 缺 省 步 长 为 5 


(2) deny: 二 选 一 选项 ， 指 定 拒绝 符合 条 件 的 数据 包 


(3) permit 


- 选 一 选项 ， 指 定 允 许 符合 条 件 的 数据 包 





( 续 表 ) 


说 明 
(4) source-address source-wildcard: 二 选 一 参数 ， 指 定 
数据 包 源 IP 地 址 和 源 IP 地 址 通配符 掩 码 。 
source-address 为 点 分 十 进 制 形式 ， 或 用 any 代 表 任意 
源 地 址 0.0.0.0; source-wildcard 为 点 汉 - 进 制 形 式 ， 数 
值 上 是 源 地 址 掩 码 的 反 掩 码 形式 。 当 目的 地 址 是 any 
时 ,通配符 是 255.255.255.255; 当 目 的 地 址 是 主机 时 ， 
rule [ rule-id |] { deny | permit } 通配符 是 0 
[source {source-address source- | (5) any: 二 选 一 选项 ， 表 示 数 据 包 的 任意 源 地 址 
wildcard |any } |fragment| logging| | (6) fragment: 可 多 选项 ， 指 定 该 规则 是 否 仅 ? 
time-range time-name ] 分 片 报 文 有 效 。 当 包含 此 选项 时 表示 该 规则 仅 对 非 首 
例如 : [HUAWEI-acl-basic-2001] | 分 片 报 文 有 效 
rulepermitsouree 192.1683210 | (7) logging: 可 多 选项 ， 指 定 把 ACL 的 匹配 信息 写 进 
日 志 
(8) time-name : 可 多 选 参数 ， 指 定 ACL 规则 生效 的 时 
间 段 ,其 中 wime-name 表 示 ACL 规则 生效 的 时 间 段 名 称 ， 
长 度 范 围 为 1 一 32 个 字符 
可 用 undo rule rule-id [ fragment | logging | source | 
time-range ] 命令 删除 一 个 基本 ACL 规则 




















quit 
例如 : [HUAWEI-acl-basic-2001] | 退出 基本 ACL 视图 ， 返 回 系统 视图 
quit 
ftp acl acl-number 在 FTP 的 交换 机 连接 中 应 用 指定 的 ACL， 设 置 允许 哪 
例如 : [HUAWEI] ftp acl2001 | 些 客户 端 访问 本 FTP 服务 器 


【示例 4】 在 ACL 2001 中 增加 一 条 规则 ， 人 允许 源 地址 为 主机 地 址 192.168.32.1 的 报 文通 过 

<HUAWEI>system-view 

[HUAWEI] acl 2001 

[HUAWEI-acl-basic-2001] rule permit Source192.168.32.1 0 

5. 用 户 通 过 FTP 访 问 交 换 机 

完成 以 上 配置 后 ， 用 户 就 可 以 从 终端 通过 FTP 协 议 访问 交换 机 。 此 时 用 户 可 以 选择 使 用 Windows 命 令 行 
提示 符 或 第 三 方 软件 进行 FTP 访 问 操作 。 在 此 仅 以 Windows 命 令 行 提 示 符 为 例 进行 介绍 。 

方法 很 简单 ， 仅 需 在 Windows 命 令 提示 符 下 输入 ftp 192.168.150.208〔 假 设 交 换 机 的 IP 地 址 为 
192.168.150.208) 命令 ， 通 过 FTP 协 议 访问 交换 机 。 然 后 根据 提示 输入 用 户 名 和 口令 ， 按 回 车 键 ， 当 出 现 
FTp 客 户 端 视图 的 命令 行 提示 符 ， 如 fp>， 此 时 用 户 进 入 了 FTP 服 务 器 的 工作 目录 ， 就 可 以 进行 各 种 基于 
FTP 协 议 的 文件 管理 ， 如 上 传 、 下 载 交 换 机 系统 软件 和 配置 文件 等 。 

C:\Documents and Settings\Administrator> ftp 192.168.150.208 

Connected to 192.168.150.208. 

220 FTP service ready. 

User(192.168.150.208:(none)):huawei 


331 Password required for huawei. 






















































































































































































Password: 

230 User logged in. 

ftp> 

6. 通过 FTP 命 令 进行 文件 操作 

用 户 成 功 访问 担当 FTP 服 务 器 的 华为 S 系 列 交 换 机 后 ， 在 PC 终端 的 命令 提示 符 下 可 以 通过 FTP 命 令 进行 
文件 操作 ， 包 括 目录 操作 、 文 件 操作 、 配 置 文件 传输 方式 、 上 传 或 下 载 文件 ， 查 看 FTP 命 令 在 线 帮助 等 ， 如 
表 3-30 所 示 。 有 关 文 件 和 目录 管理 命令 的 使 用 方法 参见 本 书 第 2 章 2.4 节 。 但 用 户 的 操作 权限 受 限 于 服务 器 上 
对 该 用 户 的 用 户 优先 级 设置 。 





















































表 3-30 通过 FTP 命 令 可 进行 的 文件 操作 





命令 说 明 
ed remote-directory 改变 服务 器 上 的 工作 路 径 

cdup 改变 服务 器 的 工作 路 径 到 上 一 级 目录 

pwd 显示 服务 器 当前 的 工作 路 径 
显示 或 者 改变 客户 端的 工作 路 径 到 指定 目录 ,与 pwd 命令 不 同 的 是 ， 
led [ local-directory ] led 命令 执行 后 显示 的 是 客户 端的 本 地 工作 路 径 ， 而 pwd 显示 的 则 
是 远 端 服 务 器 的 工作 路 径 
在 服务 器 上 创建 指定 目录 :创建 的 目录 可 以 为 字母 和 数字 等 的 组 合 ， 
但 不 可 以 为 <、>、?、'\、; 等 特殊 字符 
rmdir remote-directory 在 服务 器 上 删除 指定 目录 
显示 服务 器 上 指定 目录 或 文件 的 信息 。ls 命令 只 能 显示 出 目录 /文件 
的 名 称 ， 而 dir 命令 可 以 查看 目录 /文件 的 详细 信息 ， 如 大 小 ， 创 建 


dir/ls [ remore-filename 期 等 
local-fil i 
0 1 果 指定 远程 文件 时 没有 指定 路 径 名 称 ， 那 么 系统 将 在 用 户 的 授权 
录 下 搜索 指定 的 文件 
delete remote-filename 删除 服务 器 上 指定 文件 














mkdir remote-directory 











put local-filename 
[remote-filename ] - 传 指定 的 单个 或 多 个 文件 。put 命令 是 上 传单 个 文件 ，mput 命令 


或 是 上 传 多 个 文件 
mput local-filenames 
get remote-filename 
[local-filename ] F 载 指定 的 单个 或 多 个 文件 。get 命令 是 下 载 单个 文件 ，mget 命令 

或 是 下 载 多 个 文件 


mget remote-filenames 








配置 传输 文件 的 数据 类 | (二 选 一 ) 缺 省 情况 下 ， 文 件 传输 方式 为 
型 为 ASCII 模式 ASCII 模式 
配置 传输 文件 的 数据 类 | 传输 文本 文件 使 用 ASCII 方式 ; 传输 程 
El 型 为 二 进 制 模式 序 、 数 据 库 文件 等 使 用 二 进 制 模式 
i 配置 文件 传输 方式 为 被 | (二 选 一 ) 缺 省 情况 下 ， 数 据 传输 方式 是 
,A 动 方式 被 动 方式 。 主 动 模式 是 从 服务 器 端 向 客户 
配置 文件 传输 方式 为 主 | 端 发 起 ; 被 动 模式 是 客户 端 向 服务 器 端 发 
undo passive 动 方式 起 连接 
remotehelp [ command ] 查看 FTP 命令 的 在 线 帮 有 
prompt 使 能 系统 的 提示 功能 。 缺 省 情况 下 ， 不 使 能 信息 提示 
打开 verbose 开关 。 如 果 打 开 verbose 开关 ， 将 显示 所 有 FTP 响应， 
包括 FTP 协议 信息 ， 以 及 FTP 服务 器 返回 的 详细 信息 


ascii 





























verbose 








7. FTP 访 问 管理 
可 以 在 不 退出 当前 FTP 客 户 端 视图 的 情况 下 ， 通 过 user user-name [password ] 命令 以 其 他 的 用 户 名 登录 
到 FTP 服务 器 交换 机 上 。 所 建立 的 FTP 连 接 ， 与 执行 fp 命令 建立 的 FTP 连 接 完全 相同 。 但 更 改 当 前 的 登录 用 
户 后 ， 原 用 户 与 服务 器 的 连接 将 断 开 。 
如 果 要 断 开 与 FTP 服 务 器 的 连接 ， 用 户 可 以 在 FTP 客 户 端 视图 中 选择 不 同 的 命令 断 开 与 FTP 服 务 器 的 连 
接 : 通过 bye 或 quit 命 令 可 以 终止 与 服务 器 的 连接 ， 并 退回 到 用 户 视图 ; 通过 close 或 disconnect 命 令 可 以 终止 
与 服务 器 的 连接 ， 并 退回 到 FTP 客 户 端 视图 。 
还 可 使 用 display ftp-server 任 意 视图 命令 查看 FTP 服 务 器 的 配置 和 状态 信息 ; 使 用 display ftp-users 任意 视 
图 命令 查看 登录 的 FTP 用 户 信 息 ; 使 用 display acl { acl-number | all } 任 意 视图 命令 查看 访问 控制 列表 的 配置 
人 
















































































QI 


EN o 





3.7.3 通过 FTP 进 行文 件 操作 的 配置 示例 








本 示例 拓扑 结构 如 图 3-22 所 示 ，PC 与 交换 机 之 间 的 路 由 可 达 ，10.136.23.5 是 交换 机 的 管理 口 了 地址 。 现 
在 交换 机 需要 升级 VRP 系 统 ， 将 交换 机 作为 FTP 服 务 器 ， 从 终端 PC 将 VRP 系 统 软件 上 传 至 交换 机 ， 且 保存 
当前 交换 机 的 配置 文件 到 终端 进行 备份 〈 也 就 是 执行 文件 下 载 操 作 ) 。 
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图 3-22 








1. 基本 配置 思路 


























根据 3.7.2 介 绍 的 FTP 文 件 操作 配置 任务 ， 以 及 本 示例 的 









































下 。 
(1) 配置 交换 机 的 FTP 服 务 器 功能 及 FTP 
孙 ) 。 
(2) 保存 交换 机 当前 配置 文件 ， 以 
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FTP 进 行文 件 操作 的 配置 示例 拓扑 




































































] 户 信 





























息 ( 包 括 用 户 名 及 密码 、 用 


便 下 载 到 终端 备份。 


人 体 要 求 ， 可 以 





结构 























得 出 本 示例 的 基本 配置 思路 如 











户 级 别 、 服 务 类 型 、 授 权 


(3) 从 安装 了 FTP 客 户 端 软件 的 终端 PC 上 通过 FTP 协 议 连 接 担当 FTP 服 务 器 的 交换 机 。 

















(4) 将 要 
文件 备份 到 PC 终端 。 
2. 具体 配置 步骤 
(1) 
授权 访问 的 目录 。 
<HUAWEI> system-view 
[HUAWEH ftp server enable 
[HUAWEI] aaa 
























































于 升级 的 VRP 系统 软 从 


配置 交换 机 的 FTP 服 务 器 功能 及 FTP 























F 上 传 至 交换 机 存储 器 根 目 























录 














自 











户 信 | 


EC》 








， 然 后 下 载 在 交换 机 上 保存 的 配置 





包括 用 户 名 、 密 码 、 用 户 级 别 、FTP 服 务 的 支持 和 














[HUAWEI-aaa] local-userhuawei password cipher huawei@123 #--- 创 建 用 户 huawei， 并 设置 其 密码 为 


huawei@123 


[HUAWEI-aaa] local-user huawei privilege level 15”#--- 设 定 
[HUAWEI-aaa] local-userhuawei service-type ftp ”#--- 设 定 用 


[HUAWEI-aaal] local-userhuawei ftp-directory flash:/ 


[HUAWEI-aaa] quit 
[HUAWEI] quit 

















(2) 保存 交换 机 当前 配置 文件 











<HUAWEI> save 





(3) 从 终端 PC 通过 FTP 协 议 连接 交换 机 (交换 机 的 管理 
和 密码 huawei@123。 下 面 仅 以 Windows XP 操作 系统 的 提示 








#--- 授 权 访 问 flash: 根 目录 











] 户 huawei 



























































C:\Documents and Settings\Administrator> ftp 10.136.23.5 


Connected to 10.136.23.5. 
220 FTP service ready. 


User (10.136.23.5:(none)): huawei 


331 Password required for huawei. 


Password: 
230 User logged in. 
ftp> 


(4) 通过 put 命 令 将 VRP 系 统 软 人 



































有 最 高 的 15 级 权限 














让 huawei 文 持 的 服务 类 型 为 fp 





IP 地 址 为 10.136.23.5) ， 输 入 上 
符 为 例 进 行 介绍 。 

















] 户 名 huawei 


FE (假设 VRP 系 统 软件 名 为 devicesoft.cc) 上 传 至 交换 机 。 


ftp>put devicesoft.cc 

200 Port command okay. 

150 Opening ASCII mode data connection for devicesoft.cc. 

226 Transfer complete. 

ftp: 发 送 23876556 字 节 ， 用 时 25.35Seconds 560.79Kbytes/sec. 

(5) 使 用 get 命 令 将 交换 机 上 的 配置 文件 (假设 配置 文件 名 为 vrpcfg.zip〉 下 载 到 终端 PC 的 当前 目录 

(可 以 在 PC 机 上 保存 至 另外 目录 下 ) 进行 备份 。 

ftp>get vrpcfg.zip 





















































200 Port command okay. 
150 Opening ASCII mode data connection for vrpcfg.zip. 
226 Transfer complete. 
ftp: 收 到 1257 字 节 ， 用 时 0.03Seconds 40.55Kbytes/sec. 
(6) 检查 配置 结果 。 在 交换 机 中 执行 dir 命令， 查看 系统 软件 是 否 上 传 至 交换 机 存储 器 的 根 目录 下 。 
如 果 上 传 成 功 ， 可 以 在 输出 信息 中 见 到 它 〈 如 粗 体 字 部 分 》 
<HUAWEI> dir 
Directory of flash:/ 
Idx Attr Size(Byte) Date Time FileName 
-Iw- 14 Mar 13 2012 14:13:38 back _ time a 
drw- - Mar112012 00:58:54 logfile 
-IW- 4 Nov172011 09:33:58 snmpnotilog.txt 
-rw- 11,238 Mar 12 2012 21:15:56 private-data.txt 
-rw- 1,257 Mar 12 2012 21:15:54 vrpcfg.zip 
14 Mar 13 2012 14:13:38 back time _b 
-IW- 23,876,556 Mar 13 2012 14:24:24 devicesoft.cc 
drw- - Oct312011 10:20:28 sysdrv 
drw- - Feb 21 2012 17:16:36 compatible 
drw- - Feb 09 2012 14:20:10 selftest 
10 -rw- 19,174 Feb 20 2012 18:55:32 backup.cfg 
11 -rw- 23,496 Dec 15 2011 20:59:36 20111215.zip 
12 -rw- 588 Nov 04 2011 13:54:04 servercert.der 
13 -rw- 320 Nov 04 2011 13:54:26 serverkey.der 
14 drw- - Nov042011 13:58:36 security 



































(OO ON UU 人 NO 一 OO 
1 
1 


65,233 KB total (7,289 KB free) 
至 此 ， 整 个 配置 任务 已 全 部 完成 。 




















3.7.4 通过 SFTP 进 行文 件 操 作 



































SFTP 是 SSH 协 议 的 一 部 分 ， 需 要 通过 VTY 用 户 界面 进行 连接 (而 FTP 协 议 不 需要 通过 VTY 用 户 界 面 连 
接 ) 。SFTP 使 得 用 户 终 端 可 以 在 SSH 协 议 的 基础 上 与 远 端 交 换 机 进行 安全 连接 ， 同 时 在 远程 系统 升级 、 日 
志 下 载 等 场景 下 增加 了 数据 传输 的 安全 性 。 






















































































客户 端 软件 〈 如 putty 或 OpenSSH 软 从 





的 配置 顺序 ) 。 





























(1) 配置 SFTP 服 务 器 


在 配置 通过 SFTP 进行 文件 操作 之 前 ， 也 需要 确保 终端 与 交换 机 之 间 有 可 达 路 由 ， 且 终端 上 
过 SFTP 进 行文 件 操作 的 配置 任务 如 下 《第 1 一 3 步 之 间 没 有 严格 


\ 也 


F ) 。 通 





























功能 和 参数 : 包括 服务 器 本 地 密 钥 对 4 








数 的 配置 : 


























务 器 功能 和 参数 本 


sftp server enable, } 





监听 端口 号 、 
因为 SFTP 与 STelnet 一 相 
0 置 差不多 ， 唯 一 不 同 的 是 在 表 3-16 中 的 第 3 步 ， 这 里 要 | 
其 他 配置 完 





密 钥 对 更 新 时 间 、SSH 验 证 超时 时 间 、SSH 验 证 重 试 次 数 等 。 


都 是 使 用 SSH 服 务 ， 所 以 本 步 配置 与 本 章 前 面 







































































1 上 
口 / 








pr 





一 样 ， 参 见 表 3-16 即 可 。 
































(2) 配置 SSH/ 





j 户 登录 的 用 户 界面 : 

















包括 VTY 用 户 界 面 的 用 户 验 证 方式 、VTY 用 





























名 员 





及 其 他 基本 属 ! 












































-4 








本 项 配置 任务 的 本 


已 置 方法 参见 本 章 3.5.1 一 3.5.4 节 (在 表 3-13 中 第 8 步 要 通过 prot 


困 | 


E 成 、SFTP 服 务 器 功 和 


已 安装 SSH 














的 使 能 及 服务 器 参 


3.6.4 节 的 第 2 点 介绍 的 STelnet 服 
的 是 SFTP 服 务 ， 使 用 也 


命令 是 


户 界面 支持 SSH 协 议 


ocol inbound ssh 命 令 























和 户 细 





配置 对 应 的 VTY 
可 以 采用 其 他 验 i 
(3) 配置 SSH 用 





















































EF 方式 ) 。 




















支持 SSH 服 务 ) ， 验 证 方式 的 配置 参见 本 章 3.5.5 节 ， 建 议 采 





AAA 验证 方式 〈 也 














证 





























户 ， 











包括 SSH 用 户 的 创建 、 验 证 方式 、 服 务 方式 、SFTP 服 务 授权 




















A 
了 寺 。 





























本 项 配置 任务 的 
17 第 4 步 中 使 用 

用 户 的 服务 方式 是 
令 配 置 SSH 用 户 的 SFT 
表 3-16。 

在 SSH 用 户 验 训 




















ssh use 


全 5 















































置 也 与 3.6.4 节 介绍 的 STelnet 登 录 第 3 点 中 的 SSH 用 户 配置 差不多 
rusername service-type { sftp |all } 命 令 配 置 SSH 


即 不 支持 任何 服务 方式 。 另 外 还 要 通过 ssh userusername sftp-dir 
P 服 务 授权 目录 ， 缺 省 情况 下 ，SSH 用 






























































方面 











Q 如 果 要 对 SSH 
@@ 如 果 要 对 




















FSSH 用 户 进行 dsa、rsa、password-dsa 或 password-rsa 验 订 


























户 的 SFTP 服 务 授权 目录 是 flash:。 典 


， 不 同 的 是 要 在 表 3- 














j 户 支持 SETP 服 务 ， 缺 省 情况 下 ，SSH 














ectoryname 命 


他 配置 


ectorydir 








参见 























行 配置 。 





E， 按 3-18 进 











户 进 行 password、password-dsa 或 password-rsa 验 训 


























E， 按 表 3-19 进 行 配 置 。 























而 都 有 相关 介绍 ， 且 不 同 之 处 在 以 上 各 配置 任务 ， 








均 有 说 明 ， 故 不 再 



















































































Windows 





通过 SFTP 协 议 访问 交换 机 
过 SFTP 访 问 交 换 机 需要 在 终端 
命令 行 提示 符 为 例 进行 配置 。 




















F 操 作 和 访问 管理 。 





























Par 
本 

















F。 此 处 以 使 用 








上 安装 SSH 客 户 端 软 伯 
SH 软件 从 终 站 

















J 


41OpenS 




















使 


















































三 方 软件 OpenSSH 和 
访问 交换 机 时 需要 使 用 OpenSSH 的 命令 ， 


命令 的 使 用 可 以 参见 该 软件 的 帮助 文档 。 只 有 安装 了 OpenSSH 软 件 后 ，Windows 命 令 行 提示 符 才 能 识别 


OpenSSH 相 关 命 令 。 





操作 方法 是 先进 入 Windows 的 


sftpuser@10.136.23.5) 






























































户 名 和 密码 。 连 接 成 


命令 行 提 示 符 ， 然 后 在 命令 行 中 输入 sftp username 命 令 〈 如 sftp 
， 按 回 车 键 后 即 开 始 与 交换 机 进行 连接 ， 按 照 提示 正确 输入 用 
表示 用 户 已 进入 了 SFTP 服 务 器 的 工作 目录 。 如 下 所 示 : 





























功 后 即 出 现 sftp> 提 示 符 ， 


C:\Documents and 

















Settings\Administrator> sftp sftpuser@10.136.23.5 


Connecting to 10.136.23.5. . 
The authenticity of host '10.136.23.5 (10.136.23.5) can't be established. 
RSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee. 


Are you sure you want to continue connecting (yes/no)? yes 


Warning: Permane 


ntly added '10.136.23.5' (RSA) to the list of known hosts. 


User Authentication 


Password: 


sftp> 




































































2. 通过 SFTP 命 令 进行 文件 操作 
当 SFTP 客 户 端 登录 到 SSH 服 务 器 之 后 ， 用 户 可 以 在 SFTP 客 户 端 进行 如 表 3-31 所 示 的 文件 操作 。 有 关 文 
件 和 目录 的 操作 方法 参见 本 书 第 2 章 2.4 节 。 但 在 SFTP 客 户 端 视图 下 ， 文 件 操 作 命 令 不 支持 联想 功能 ， 必 须 
手动 输入 完整 的 命令 ， 和 否则 会 提示 是 不 支持 的 命令 
表 3-31 通过 SFTP 文 件 操 作 命 令 进 行文 件 操作 


命令 


说 明 





ed [ remote-directory ] 


改变 用 户 的 当前 工作 目录 





cdup 


改变 用 户 的 人 目录 为 当前 工作 目录 的 上 一 级 目录 





pwd 





dir/ls [ -1 | -a ] [ remote-directory ] 


rmdir remote-directory &<1-10> 


示 用 户 的 当前 工作 路 径 
显示 指定 目录 i dir 与 ls 执行 的 效果 是 


删除 服务 器 上 指定 的 目录 。 一 次 最 多 可 以 删除 10 个 
使 用 该 命令 删除 目录 时 ， 目 录 中 不 能 有 文件 ， 


- 样 的 
目录 。 但 
否则 全 出 除 失 败 





mkdir remote-directory 


在 服务 器 上 创建 新 指定 目录 





rename old-name new-name 


改变 服务 器 上 指定 的 文件 的 名 字 





get remote-filename [ local-filename ] 


下 载 远 程 服务 器 上 指定 的 文件 





put local-filename [ remote-filename ] 


上 传 指定 的 本 地 文件 到 远程 服务 器 





remove remote-filename &<1-10> 


删除 服务 器 上 文件 。 一 次 最 多 可 以 删除 10 个 文件 





help [ all | command-name ] 





请 求 SFTP 客户 端 命令 帮助 

















3. SFTP 访 问 管理 





连接 成 功 后 ， 用 户 可 以 执行 display ssh user-information [username ] 命令 查看 SSH 月 














j 户 信息 ; 执行 display 
























































ssh server status 命 令 查 看 SSH 服 务 器 的 全 局 配置 信息 ; 执行 display ssh server IO 山 连 接 
会 话 信息 。 这 几 个 命令 均 已 在 3.6.4 节 第 5 点 中 有 详细 介绍 ， 故 不 再 袭 述 。 也 可 以 通过 quit 命 令 断 开 与 SFTP 服 
务 器 的 连接 。 











3.7.5 通过 








SFTP 进 行文 件 操作 的 配置 示例 








本 示例 拓扑 结构 如 图 3-23 所 示 ， 终 








PC 
图 3-23 通 


址 。 WA 
全 性 。 现 将 交 





































































































ee 


央 PC 与 交换 机 的 路 由 可 达 ， 10.136.23.4 是 交换 机 的 管理 口 卫 地 
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SSH Server 


过 SFTP 进 行文 件 操作 的 配置 示例 拓扑 结构 





以 防止 普通 FTP 服 务 连接 的 一 些 不 安 
通过 对 客户 端的 验证 和 双向 的 数据 加 密实 现 


出 本 示例 的 基本 配置 思路 如 下 。 
诈 使 能 SFTP 服 务 器 功能 ， 实 现在 服务 器 端 和 客户 

















有 户 名 和 密码 等 。 








用 户 对 安全 文件 传输 操作 的 要 求 。 
1. 基本 配置 思路 
根据 3.7.4 节 介绍 的 配置 任务 及 本 示例 的 具体 要 求 ， 可 得 
(1) 在 担当 SSH 服 务 器 的 交换 机 上 生成 本 地 密 钥 对 ，3 
端 进行 安全 的 数据 交互 。 
(2) 配置 用 于 SFTP 连 接 的 VTY 用 户 界面 。 
(3) 配置 SSH 用 户 ， 包 括 验 证 方式 、 服 务 类 型 、 授 权 目 录 以 及 月 
(4) 从 终端 通过 第 三 方 软件 OpenSSH 实 现 访问 SSH 服 务 器 。 























2. 有 具体 配置 步骤 

(1) 在 服务 器 端 生成 本 地 密 钥 对 《在 此 以 RSA 加 密 算 法 为 例 ) ， 并 局 
<HUAWEI> system-view 
[HUAWEI] sysname SSH Server 


[SSH Server] rsa local-key-pair create 
































SFTP 服 务 器 功能 。 





Wi 





The key name will be: SSH Server_Host 
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
it will take a few minutes. 
Input the bits in the modulus[default = 2048] :768 
Generating keys. . 
十 十 十 十 十 十 十 十 十 十 十 十 


a 十 十 十 十 十 十 十 十 十 十 十 十 


.十 十 十 十 十 十 十 十 


ew 十 十 十 十 十 十 十 十 
[SSH Server] sftp server enable 
(2) 在 服务 器 端 配 置 用 于 SFTP 访 问 的 VTY 用 户 界面 (假设 为 YTY 0 一 4 共 五 条 虚拟 通道 ) 。 


[SSH Server] user-interface vty 0 4 













































































[SSH Server-ui-vty0-4] authentication-mode aaa 
[SSH Server-ui-vty0-4] protocol inbound ssh 
[SSH Server-ui-vty0-4] quit 
《3) 配置 SSH 用 户 ， 包 括 验 证 方式 、 服 务 类 型 、 授 权 目 录 以 及 用 户 名 和 密码 等 。 


[SSH Server] ssh user client001 authentication-type password 



































[SSH Server] ssh user client001 service-type sftp 

[SSH Server] ssh user client001 sftp-directory flash: 

[SSH Server] aaa 

[SSH Server-aaa] local-user client001 password cipherhuawei@123 

[SSH Server-aaa] local-user client001 privilege level 15 

[SSH Server-aaa] local-user client001 service-type ssh 

[SSH Server-aaa] guit 

(4) 从 终端 通过 OpenSSH 软件 的 sftp 命令 (后 面 直接 接 “ 用 户 名 @ 交 换 机 的 管理 IP 地 址 ”， 以 指定 登录 

的 用 户 名 和 SFTP 服 务 器 耻 地 址 ) 实现 访问 SFTP 服 务 器 ， 如 图 3-24 所 示 。 只 有 在 用 户 终 端 安装 了 OpenSSH 软 
件 后 ，Windows 命 令 行 提 示 符 才能 识别 OpenSSH 相 关 命 令 。 





















































< CaxVWIEDOWSVs7stea32Vcad exe 一 sftp client001@10.136.23.4 


:Documents and Settings dninistrator)sftp cliencBBlelB.136 .23.4 
onnecting to 18.136.23.4... 

he authenticity of host 10.136.23.4 <106.136.23.4)’ can’t be established. 
RSR key 上 ingerprint is 69:1c:c6:29:5b:29:Be:15:47:598:4Ff:31t:ae:68:5hb:eBe 。 
Nre you sure you want to continue connecting Cyes/no)? yes 

arning: Pernanently added ' 19.136 .23.4” CRSA> to the list of known hosts. 
ser Authentication 





通过 多 
执行 一 系列 文件 


3.7.6 通过 























图 3-24 通过 sftp 命 令 访问 交换 机 的 界 国 





操作 。 


SCP 进 行文 件 操作 












































三 方 软件 连接 交换 机 后 ， 进 入 客户 端的 SFTP 视图 ， 此 时 可 以 使 用 第 三 方 软件 支持 的 SFTP 命 令 




















SCP 也 是 SSH 协 议 的 一 部 分 ， 是 基于 SSH 协 议 的 远程 文件 复制 技术 ， 包 括 上 传 和 下 载 。 在 配置 通过 SCP 
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配置 任务 






































进行 文件 复制 之 前 ， 也 需要 确保 终端 与 交换 机 之 间 路 由 可 达 ， 且 在 终端 上 已 安装 支持 SCP 的 SSH 客 户 端 软 


通过 SCP 进 行文 件 操 作 的 配置 任务 如 下 《第 1 一 3 步 之 间 没 有 严格 的 配置 顺序 ) 
(1) 配置 SCP 服 务 器 功能 及 参数 : 包括 服务 器 本 地 密 钥 对 生成 、SCP 服 务 器 功能 的 使 能 及 服务 器 参数 


的 配置 : 








监听 端口 号 、 密 钥 对 更 新 时 间 、 
































SSH 验 证 超时 时 间 、SSH 验 证 重 试 次 数 等 。 














因为 SCP 与 STelnet 一 样 都 是 使 用 SSH 服 务 ， 所 以 本 步 配 置 与 本 章 前 面 3.6.4 节 的 第 2 点 介绍 的 STelnet 服 务 


器 功能 和 参数 配置 差不多 ， 唯 















































一 不 同 的 是 在 表 3-16 中 的 第 3 步 ， 这 里 要 局 用 的 是 SCP 服 务 ， 使 用 的 命令 是 scp 





server enable， 其 他 配置 完全 一 样 ， 其 他 配置 参见 3-16 即 可 。 


(2) 配置 SSH/ 
属性 。 





及 其 他 基 








本 











本 项 配置 
配置 对 应 的 VITY 用 户 界 本 

































































可 以 采用 其 他 验证 方式 ) 。 


(3) 配置 SSH 月 
本 项 配置 












































j 户 登录 的 用 户 界面 : 




















包括 VTY 用 户 界面 的 用 户 验 证 方式 、VTY 用 户 界面 支持 SSH 协 议 























手 务 的 配置 方法 参见 本 章 3.5.1 一 3.5.4 节 (在 表 3-10 中 第 8 步 要 通过 protocol inbound ssh 命 令 
支持 SSH 服 务 ) ， 验 证 方式 的 配置 参见 本 章 3.5.5 节 ， 建 议 采用 AAA 验证 方式 〈 也 


















































目 户 : 包括 SSH 用 户 的 创建 、 验 证 方式 、 服 务 方式 等。 
皇 务 的 配置 也 与 3.6.4 节 介绍 的 STelnet 登 录 第 3 点 中 的 SSH 用 户 配 置 差不多 ， 不 同 的 是 要 在 表 3- 






































17 第 4 步 中 使 用 ssh user username service-type al 命令 配 置 SSH 用 户 支 持 SCP 服 务 ， 缺 省 情况 下 ，SSH 用 户 的 
服务 方式 是 空 ， 





即 不 支持 任何 服务 方式 。 








在 





Q 如 果 要 对 
@ 如 果 要 对 








理 。 








ESSH 用 户 验证 方面 : 
















































































表 3-32 与 SCP 交 换 机 访问 的 相关 参数 缺 省 配置 


参数 


决 省 



































其 他 配置 参见 表 3-16。 





SSH 用 户 进行 password、password-dsa 或 password-rsa 验 证 ， 按 表 3-18 进 行 配置 。 
SSH 用 户 进行 dsa、rsa、 
给 与 SCP 交 换 机 访问 的 相关 参数 人 








password-dsa 或 password-rsa 验 证 ， 按 表 3-19 进 行 配 置 。 
配置 参 如 表 3-32 所 示 。 








缺 省 值 





SCP 务 器 功能 关闭 





22 





0， 表 示 永 不 更 新 





60s 





3 
SSH 验证 重 试 次 类 


ey 
3 





SSH | 


没有 创建 








SSH 用 户 的 服务 方式 空 ， 即 不 支持 任何 服务 方式 








用 户 通过 SCP 协 议 访问 交换 机 成 功 后 进行 文件 上 传 或 下 载 的 操作 ， 以 及 SCP 交 换 机 访问 





或 











过 SCP 协 议 访 问 交 换 机 进行 文件 上 传 或 下 载 操作 





























从 终端 通过 SCP 方 式 上 传 或 下 载 文件 ， 需 要 在 终端 上 安装 支持 SCP 的 SSH 客 户 端 软件 。 此 处 以 使 用 第 三 
方 软件 OpenSSH 和 Windows 命 令 行 提示 符 为 例 进 行 配置 。 只 有 安装 了 OpenSSH 软 件 后 ，Windows 命 令 行 提示 
符 才能 识别 OpenSSH 相 关 命 令 。 

可 在 终端 的 命令 提示 符 下 执行 scp [ -portport-number | -a sourceaddress | -i interface- type interface-number | 
工 | -cipher {des | 3des | aes128 } | -c ] * sourcefile destinationfile 命 令 直接 上 传 文件 至 服务 器 或 从 服务 器 下 载 文 
件 至 本 地 。 当 然 也 可 把 本 地 交换 机 作为 SCP 客 户 端 与 其 他 配置 作为 SCP 服 务 器 的 交换 机 连接 。 命 令 中 的 参数 
和 选项 说 明 如 下 。 

(1) portnumber: 可 多 选 参数 ， 指 定 远 端 SCP 服 务 器 的 端口 号 ， 取 值 范围 是 1 一 65 535 的 整数 ， 具 体 要 
根据 交换 机 上 SCP 服 务 器 端口 设置 而 定 ， 缺 省 为 22 号 TCP 端 口 。 

(2) sourceaddress: 可 多 选 参数 ， 指 定 本 终端 的 卫 地 址 。 

(3) interface-type interface-number: 可 多 选 参数 ， 仅 当 从 本 地 交换 机 上 连接 其 他 交换 机 时 选用 ， 用 于 
本 地 交换 机 SCP 连 接 SCP 服 务 器 交换 机 的 源 接口 。 

(4) -r: 可 多 选项 ， 指 定 进行 批量 文件 上 传 或 下 载 。 

(5) des: 多 选 一 选项 ， 指 定 采 用 DES 算 法 进行 文件 传输 加 密 。 

(6) 3des: 多 选 一 选项 ， 指 定 采 用 3DES 算 法 进行 文件 传输 加 密 。 

(7) aes128: 多 选 一 选项 ， 指 定 采用 AES128 算 法 进行 文件 传输 加 密 。 

(8) -c: 可 多 选项 ， 指 定 文件 上 传 或 下 载 时 进行 压缩 操作 。 

(9) sourcefile: 指定 上 传 或 下 载 的 源 文件 ， 文 件 格 式 为 usernameG@hostname:[path] [filename] 。 

(10〉 destinationfile: 指定 上 传 或 下 载 的 目标 文件 ， 文 件 格 式 也 为 username@hostname:[path] [filename] 





































































































































































































此 处 仅 以 从 交换 机 下 载 文件 到 本 地 终端 为 例 进行 介绍 。 进 入 Windows 的 命令 行 提示 符 ， 执 行 以 下 
OpenSSH 命 令 ， 按 系统 提示 正确 输入 用 户 名 和 密码 ， 按 下 回 车 键 后 即 可 开始 文件 下 载 。 

C:\Documents and Settings\Administrator> scp scpuser@10.136.23.5:flash:/vrpcfg.zip vrpcfg-backup.zip 

The authenticity of host '10.136.23.5 (10.136.23.5) can't be established. 

RSA key fingerprint is 46:b2:8a:52:88:42:41:d4:af:8f:4a:41:d9:b8:4f:ee. 





Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '10.136.23.5' (RSA) to the list of known hosts. 

User Authentication 

Password: 

vrpcfg.zip 100% 1257 1.2KB/s 00:00 

Received disconnect from 10.136.23.5: 2: The connection is closed by SSH server 

C:\Documents and Settings\Administrator> 

3. SCP 访 问 管理 

用 户 还 可 在 成 功 访问 交换 机 后 使 用 display scp-dlient 任 意 视 图 命令 在 SCP 客 户 端 查看 源 配置 信息 ; 使 用 
display ssh user-information [username ] 任意 视图 命令 在 SSH 服 务 器 端 查看 SSH 用 户 信息 ; 使 用 display ssh 
server status 任 意 视图 命令 查看 SSH 服 务 器 的 全 局 配置 信息 ; 使 用 display ssh server session 任 意 视图 命令 在 
SSH 服 务 器 端 查看 SSH 客 户 端 连接 会 话 信息 。 





























































































































3.7.7 通过 FTPS 进 行文 件 操作 























FTPS 将 FTP 协 议和 SSL 协 议 结合 ， 通 过 SSL 对 服务 器 进行 验证 ， 对 传输 的 数据 进行 加 密 ， 从 而 实现 了 安 














全 的 文件 管理 操作 。 在 配置 通过 FTPS 进行 文件 操作 之 前 ， 需 要 确保 终端 与 交换 机 之 间 路 由 可 达 ， 且 在 终端 
上 已 经 安装 支持 SSL 的 FTP 客 户 端 软 件 。 

1. 配置 任务 

通过 FTPS 进 行文 件 操作 的 配置 任务 如 下 (序号 1、2、3、4 配 置 任务 中 ， 加 载 数 字 证 书 ( 序 号 2〉 前 必须 
先 上 传 数字 证 书 (序号 1) ， 其 他 无 严格 配置 顺序 ) 。 

(1) 上 传 服务 器 数字 证 书 文 件 及 私 钥 文 件 : 通过 其 他 文件 上 传 方式 将 数字 证 书 文件 和 私 钥 文 件 上 传 至 
交换 机 。 这 项 配置 任务 可 以 通过 前 面 介绍 的 FTP、SFTP 或 者 SCP 协 议 进 行 ， 不 再 介绍 。 

(2) 配置 SSL 策略 并 加 载 数 字 证 书 : 包括 配置 SSL 策 略 及 在 服务 器 上 加 载 数字 证 书 。 本 项 配置 任务 与 
3.6.8 节 介绍 的 HTTPS 登录 方式 中 的 SSL 策略 配置 和 加 载 方法 完全 一 样 ， 参 见 表 3-24。 

(3) 配置 FTPS 服 务 器 功能 及 FTP 服 务 参数 : 包括 为 FTPS 服 务 器 配置 SSL 策 略 、FTPS 服 务 器 的 使 能 及 
FTP 服 务 参数 的 配置 ; 端口 号 、 源 地 址 、 超 时 断 连 时 间 。 本 项 配置 任务 与 3.7.2 节 中 的 表 3-27 的 配置 基本 
样 ， 将 在 下 面具 体 介绍 。 

(4) 配置 FTP 本 地 用 户 : 包括 配置 本 地 用 户 的 服务 类 型 及 FTP 用 户 的 授权 目录 。 本 项 配置 任务 与 3.7.2 
节 第 3 点 的 配置 完全 一 样 ， 参 见 其 中 的 表 3-28。 
《5) 用 户 通过 FTPS 访 问 交 换 机 : 从 终端 通过 FTPS 访 问 交 换 机 。 
通过 FTPS 访 问 交 换 机 的 相关 参数 缺 省 配置 如 表 3-33 所 示 。 



















































































































































































































































































































































































































































































表 3-33 通过 FTPS 访 问 交 换 机 的 相关 参数 缺 省 配置 

















参数 缺 省 什 
| SSL 策略 没有 为 FTPS 服务 创建 SSL 策略 
| FTPS 服务 器 功能 | 关闭 
| 监听 端口 号 21 | 
| FTP 用 户 没有 创建 本 地 用 户 | 


























下 面具 体 介绍 以 上 配置 任务 中 的 第 3 项 和 第 5 项 。 
2. 配置 FTPS 服 务 器 功能 及 FTP 服 务 参数 
基于 FTP 协 议 的 FTPS， 除 了 配置 FTPS 服 务 器 功能 外 ， 还 可 以 对 FTP 服 务 参数 进行 配置 。 有 具体 如 表 3-34 
所 示 ， 与 3.7.2 节 第 2 点 介绍 的 FIP 交换 机 访问 方式 中 的 FTP 服 务 器 功能 和 参数 配置 方法 类 似 。 




















































































































表 3-34 FTPS 服 务 器 功能 及 FTP 服 务 参数 的 配置 步 又 




















命令 


说 明 





System-view 


进入 系统 视图 





ftp server port port- 
number 

例如 : [HUAWEI] ftp 
server port 1028 


(可 选 ) 指定 FTP 服务 器 端口 号 ， 取 值 范围 为 21 或 1 025 一 55 535 
的 整数 。 缺 省 情况 下 ，FTP 服务 器 兹 监听 端口 号 是 21 





ftp secure-server ssl- 
Policy policy-name 
例如 : [HUAWEI] ftp 
secure-server 
ssl-policy ftp_server 


为 FTPS 服务 器 配置 SSL 策略 ， 长 度 范围 为 1 一 23 个 字符 ， 不 区 
分 大 小 写 ， 不 支持 室 格 。 些 处 配置 的 SSL 策略 即 为 前 面 的 配置 任 
务 中 创建 的 SSL 策略 。 

缺 省 情况 下 ，FTP 服务 器 未 配置 SSL 策略 ， 可 使 用 undo ftp 
secure-server ssl-policy 命令 删除 FTP 服务 器 配 i SSL 策略 





undo ftp server enable 
例如 : [HUAWElundo 
ftp server enable 


(可 选 ) 去 使 普通 FTP 服务 器 功能 。 缺 省 情况 下 ， 交 换 机 的 普通 
FTP 服务 器 功能 就 是 关闭 的 





ftp secure-server enable 
例如 : [HUAWEI] ftp 
secure-server enable 








使 能 FTPS 服务 器 功能 。 缺 省 情况 下 ， 未 使 能 FTPS 服务 器 。 使 能 
FTPS 服务 功能 前 ， 必 须 去 使 能 普通 FTP 服务 器 功能 。 





ftp server-source { -a 
source-ip-address | -i 
interface-type 
interface- num } 

例如 : [HUAWEI]ftp 
server- source -i 
loopback0 


(可 选 ) 指定 FTP 服务 器 的 源 地 址 或 源 接 ! 情 ee 
文 的 过 滤 ， 保 证 安全 性 。 二 选 一 参数 source-ip-address 用 来 指定 
FTP 服务 器 源 IP 地 址 ， 二 选 一 参数 interface-type inter 上 -num 用 
来 指定 FTP 服务 器 的 源 接口 。 但 FTP 服务 器 端 指定 的 源 地 址 只 能 
是 交换 机 的 LoopBack 接口 IP 地 址 或 LoopBack 接口 。 配 置 了 服 
务 器 的 源 地 址 后 ， 登 录 服务 器 时 所 输入 的 服务 器 地 址 必须 与 该 命 
令 中 配置 的 一 致 ， 否 则 无 法 成 功 登 录 。 如 果 在 配置 此 命令 前 ，FTP 
服务 已 经 使 能 ， 在 则 在 配置 本 命令 后 FTP 服务 将 重新 启动 

缺 省 情况 下 ,FTP 服务 器 发 送 报 文 的 源 地 址 为 0.0.0.0, 可 用 undo ftp 
server-source 命令 恢复 FTP 服务 器 发 送 报 文 的 源 地 址 为 缺 省 值 





ftp timeout minutes 


例如 : [HUAWEI] ftp 
timeout 20 




















3. 用 户 通 过 FTPS 访 问 交 换 机 





需要 在 用 户 终端 安装 支持 SSL 的 FTP 客 户 端 软 件 〈 如 Cnuteftp Pro 和 FlashFXP) ， 通 过 第 三 方 软 伯 








(可 选 ) 配置 FTP 连接 最 大 空闲 等 待 时 间 ， 取 值 范围 为 1 一 35 791 
的 整数 分 钟 。 缺 省 情况 下 , ji : 困 时 间 为 30min， 可 用 undo ftp 
timeout 命令 恢复 缺 省 的 连接 空闲 时 间 

【说 明 】〗 用 户 登 录 到 FTP 服务 器 后 如 果 连 接 异 常 中 断 或 用 户 非 正常 
中 断 连 接 ，FTP 服务 器 是 无 法 知道 的 ， 因 而 连接 仍 保持 着 。 为 防止 
这 类 情况 的 发 生 ， 使 用 连接 空 亲 时间， 当 连 接 在 一 定时 间 内 没有 进 
行 命令 交互 ，FTP 服务 器 即 可 认为 连接 已 经 失效 ， 而 断 开 连接 











从 用 户 


终端 登录 FTPS 服务 器 ， 实 现 对 FTPS 服务 器 文件 的 安全 管理 。 在 此 不 作 具 体 介绍 ， 参 见 相 关 软 件 的 帮助 说 


明 。 


二 





4. FTPS 交 换 机 访问 管理 











在 交换 机 端 可 以 使 用 display ssl policy 任 意 视 图 命令 查看 配置 的 SSL 策 略 及 加 载 的 数字 证 书 ， 使 用 display 
ftp-server 任 意 视图 命令 查看 FTPS 服 务 器 的 状态 ; 使 用 display ftp-users 任 意 视图 命令 查看 登录 的 FTP 用 户 信 





息 


Co 








3.7.8 通过 FTPS 进 行文 件 操作 的 配置 示例 











本 示例 拓扑 结构 如 图 3-25 所 示 ， 终 端 与 交换 机 之 间 的 路 
址 。 现 希望 在 终端 en 在 交换 机 上 部 署 SSL 策略 ， 利 用 数据 加 密 、 
份 验证 和 消息 完整 性 验证 机 制 ， 为 网 络 上 数据 的 传输 提供 安全 性 保证 。 
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FTPS Server 


图 3-25 通过 FTPS 进 行文 件 操作 的 配置 示例 拓扑 结构 


1. 基本 配置 思路 











根据 3.7.7 节 介绍 的 配置 任务 ， 以 及 本 示例 的 具体 要 求 可 以 得 出 如 下 的 基本 配置 思路 : 























日 可 达 ，10.137.217.201 是 交换 机 的 管理 
































理 口 IP 地 
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《1) 配置 交换 机 的 普通 FTP 服 务 器 功能 ， 将 PC 上 存储 的 数字 证 书 上 传 到 交换 机 上 。 然 后 将 位 于 交换 机 
存储 器 根 目 录 下 的 数字 证 书 复 制 到 security 目 录 中 。 
《2) 配置 SSL 策 略 并 加 载 数字 证 书 ， 以 实现 客户 端 对 服务 器 的 身份 验证 
(3) 使 能 FTPS 服 务 器 功能 ， 并 配置 FTP 本 地 用 户 。 
(4) 通过 终端 第 三 方 软件 连接 FTPS 服 务 器 。 
2. 有 具体 配置 步骤 
(1) 配置 服务 器 的 普通 FTP 服 务 器 功能 ， 配 置 FTP 用 户 信 息 (用 户 名 为 admin， 和 密码 为 huawei@123。 这 
里 创建 的 用 户 可 同时 作为 FTPS 用 户 ， 因 为 FTPS 所 用 的 也 是 FTP 用 户 ) 。 
<HUAWEI>system-view 
[HUAWEI] sysname FTPS-Server 
[FTPS-Server] ftp server enable 
[FIPS-Server] aaa 
[FITPS-Server-aaa] local-user admin password cipherhuawei@123 
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[FIPS-Server-aaa] local-user admin service-type ftp 

[FTPS-Server-aaal local-user admin privilege level 3 

[FIPS-Server-aaa] local-user admin ftp-directory flash: 

[FTPS-Server-aaal] quit 

[FTPS-Server] quit 

(2) 在 终端 PC 上 进入 Windows 系 统 命令 行 提示 符 输入 ftp 10.137.217.201 命 令 ， 在 提示 信息 中 输入 正确 

的 用 户 名 和 密码 与 FTP 服 务 器 建立 FTP 连 接 。 然 后 利用 put 命 令 在 用 户 终端 将 数字 证 书 及 私 钥 文件 上 传 到 服务 
器 上 ， 参 见 3.7.3 节 介绍 的 通过 FTP 协 议 上 传 系统 文件 的 配置 示例 。 

上 述 步 又 成 功 执行 后 可 在 交换 机 执行 dir 命令 ， 此 时 应 该 可 以 看 到 成 功 上 传 的 数字 证 书 及 私 钥 文件 。 如 
下 输出 信息 中 的 粗 体 字 部 分 。 

<FTPS-Server>dir 
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Directory of flash:/ 
ldx Attr Size(Byte) Date Time FileName 
0 drw- - May 10 2011 05:05:40 src 
1 -rw- 524,575 May 10 2011 05:05:53 private-data.txt 
2 -rw- 446 May 10 2011 05:05:51 vrpcfg.zip 
3 -rw- 1,302 May 10 2011 05:32:05 servercert.der 
4 -rw- 951 May 10 2011 05:32:44 serverkey.der 


65,233 KB total (7,289 KB free) 
(3) 配置 SSL 策 略 并 加 载 数 字 证 书 。 在 交换 机 上 利用 mkdir 命 令 创 建 security 目 录 ， 并 利用 move 命 令 将 
位 于 存储 器 根 目录 中 的 安全 证 书 和 密 钥 文件 移动 到 security 目 录 中 。 


<FTPS-Server>mkdir security/ 
















































































<FTPS-Server>move servercert.der security/ 

<FTPS-Server>move serverkey.der security/ 

上 述 步骤 成 功 执行 后 可 在 security 目 录 下 执行 dir 命 令 ， 此 时 应 该 可 看 到 移动 成 功 的 数字 证 书 及 私 钥 文 
件 。 如 下 输出 信息 中 的 粗 体 字 部 分 。 














<FTPS-Server>cd security/ 
<FTPS-Server>dir 
Directory of flash:/security/ 
ldx Attr Size(Byte) Date Time FileName 
0 -rw- 1,302 May 10 2011 05:44:34 servercert.der 
1 -rw- 951 May 10 2011 05:45:22 serverkey.der 
65,233 KB total (7,289 KB free) 
(4) 创建 SSL 策 略 ， 并 加 载 ASN1 格 式 的 数字 证 书 ， 以 确保 进行 数据 传输 时 的 安全 性 。 


<FTPS-Server>system-view 


























[FTPS-Server] ssl policy ftp_server 
[FTPS-Server-ssl-policy-ftp_server] certificate load asn1-cert servercert.der key-pair rsa key-file serverkey.der 
[FTPS-Server-ssl-policy-ftp_server] quit 
(5) 使 能 FTPS 服 务 器 功能 ， 加 载 SSL 策 略 ， 并 配置 FTP 本 地 用 户 ， 但 FTP 用 户 的 配置 在 前 面 进 行 FTP 
文件 传输 时 已 创建 好 ， 参 见 上 面 的 第 〈1) 步 。 另 外 要 注意 ， 使 能 FTPS 服 务 器 功能 前 ， 必 须 先 去 使 能 普通 
FTP 服 务 器 功能 。 
[FTPS-Server] undo ftp server 









































































































































[FTPS-Server] ftp secure-server ssl-policy ftp_server 

[FTPS-Server] ftp secure-server enable 

在 交换 机 端 执行 display ssl policy 命 令 可 以 看 到 加 载 的 证 书 详细 信息 。 具 体 如 下 : 
[FTPS-Server] display ssl policy 























SSL Policy Name: ftp_server 
Policy Applicants: 
Key-pair Type: RSA 
Certificate File Type: ASN1 
Certificate Type: certificate 
Certificate Filename: servercert.der 
Key-file Filename: serverkey.der 
Auth-code: 
MAC: 
CRL File: 
Trusted-CA File: 
还 可 在 交换 机 端 执行 display ftp-server 命 令 查 看 SSL 策 略 名 称 、FTPS 服 务 器 的 状态 。 具 体 如 下 (显示 当 
前 FTPS 服 务 器 处 于 运行 状态 ) : 
[FTPS-Server] display ftp-server 











FTP server is stopped 

Max user number 5 
Usercount 1 

Timeout value(in minute) 30 
Listening port 21 


Aclnumber 0 


FTP server's source address ”0.0.0.0 
FTP SSL policy ftp_server 
FTP Secure-server js running 


完成 以 上 配置 后 ， 用 户 可 以 通过 支持 SSL 的 FTP 客 























上 传 和 下 载 。 具 体操 作 过 程 请 参见 第 三 方 软件 的 帮助 文档 。 








户 端 软 人 











与 安全 FTP 服 务 器 建立 连接 ， 并 实现 文件 








及 以 太 网 链 路 配置 与 管理 














4.1 交换 机 接口 及 基础 配置 
网 接口 属性 


4.2 以 太 
4.3 端口 隔离 





















































4.4 逻辑 接 
4.5 以 太 








网 链 路 


配置 与 管理 














x 
聚合 





4.6 Eth-Trunk 接 


4.7 E-Trunk 























4.8 Eth-Trunk 子 接口 配置 与 管理 
本 章 介绍 的 是 华为 S 系 列 
太 网 子 接口 、Eth-Trunk 接 口 / 子 接 
法 。 本 章 内 容 昌 然 很 基础 ， 但 是 去 
























































“也 
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在 华为 系列 交换 机 中 ， 端 
是 一 个 以 太 网 端口 与 其 他 以 太 网 端口 
言 ， 实 现 二 层 隔离 ， 男 一 种 把 需要 相互 隔离 的 以 太 网 端 


























交换 机 的 物理 以 太 网 端 
口 等 ) 、 端 口 隔离 ， 
[是 使 用 率 最 高 的 交换 机 配置 之 一 ， 特 别 是 以 太 网 链 路 聚合 。 
隔离 可 以 实现 在 同一 VLAN 内 部 的 不 同 端 口 
间 的 单 向 隔离 ， 即 使 其 他 以 太 网 端口 不 能 与 指定 以 太 网 端口 进行 二 层 





























口 间 的 二 





LU 二 
J 而 云 ， 








华为 交换 机 中 的 以 太 网 链 路 聚合 称 之 为 Eth-Trunk， 





[至 三 层 隔 离 。 这 在 对 同一 VLAN 中 个 别 以 太 网 端 





、 各 种 逻辑 接口 〈 如 Loopback 接 口 、NULL 接 口 、 以 
以 及 以 太 网 链 路 聚合 〈Eth-Trunk) 的 配置 与 管理 方 






























































间隔 离 。 它 有 两 种 方式 ， 一 种 















































个 隔离 组 中 ， 实 现在 隔离 组 中 的 以 太 网 
进行 单 向 或 双向 隔离 时 特别 需要 。 
于 交换 机 设备 间 的 连接 。 它 有 “手工 负载 分 





口 放 进 

































































担 >? 和 “静态 LACP” 两 种 工作 模式 ， 手 工 负载 分 担 模式 可 以 实现 提升 单 链 路 带宽 和 负载 分 担 功能 ， 静 态 LACP 


模式 除 此 之 外 还 可 以 实现 链 路 备份 ， 这 在 交换 设备 互联 中 应 用 非常 广 ， 也 非常 实用 。 








4.1 交换机 接口 








及 基础 配置 











不 同 的 华为 $ 系 





本 上 只 有 物理 的 
VLANIF 接 口 数 量 ; 
口 、Null 接 口 

















从 类 


4.1.1 接口 


接口 




















以 太 
在 S3700 及 其 人 
之 类 的 逻辑 三 层 接口 





列 交换 机 上 可 以 使 用 、 配 置 的 接口 类 型 不 完全 一 样 ， 如 在 二 层 的 S2700 系 列 交换 机 中 基 















































网 接口 、Console 接 















































术 
Sx 

TT 
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口 主 要 为 | 





























j 户 提供 

















0/0/1〉 两 种 管理 接 








1。 




















管理 接 




































































传输 介质 的 以 太 网 接口 











) 和 光 





口 、 
也 三 层 交 换 机 上 ， 还 可 以 像 以 太 网 子 接 
。 本 节 首 先 了 解 $ 系 列 交换 机 的 接口 


是 交换 机 与 网 络 中 的 其 他 设备 交换 数据 的 组 件 ， 在 S 系 列 交换 机 上 一 般 分 为 管理 


配置 管理 支持 ， 也 就 是 用 户 通 过 此 类 接口 
。 在 华为 $ 系 列 交换 机 中 除 S1700/2700/3700 系 列 外 ， 其 他 系列 均 提 供 Console 和 MEth 标识 为 MEth 
口 不 承担 业务 传输 。 


物理 接口 是 真实 存在 、 有 器 件 支持 的 接口 。 物 理 接 口 
网 接口 “如 百 兆 以 太 网 接口 、 千 兆 以 太 网 接口 和 万 兆 以 太 网 接口 
口 〈 以 光纤 作为 传输 介质 的 以 太 网 接口 ) 。 














以 及 Eth-Trunk 子 接口 等 二 层 接 口 ， 支 持 有 限 的 
、VLANIF 接 口 、Loopback 接 
分 类 和 接口 编号 规则 。 








管理 以 太 网 接口 






























































物理 接口 和 











接口 、 














可 以 登录 到 交换 机 ， 并 进行 配置 和 















































需要 承担 业务 传输 。 在 交换 机 上 一 般 主要 是 以 太 
等 ) 。 物 理 接口 又 分 电 口 (以 双 绞 线 作为 











3， 逻辑 接 











逻辑 接口 是 指 能 够 实现 数据 交换 功能 但 物理 上 不 存在 ， 需 要 通过 配置 建立 的 接口 。 
Null 接 口 、VLANIF 接 口 、Tunnel 接 口 、 以 太 网 子 接 口 、Eth-Trunk 接 口 等。 逻辑 接口 需 








些 逻 辑 接 口 的 作用 及 配置 方法 在 本 章 后 面 有 详细 介绍 














4.1.2 物理 接口 编号 规 见 












































在 华为 $ 系 列 交 换 机 上 的 物理 接口 的 编号 规则 如 下 《这 是 指定 接口 的 依据 ) 。 






































如 Loopback 接 口 、 
要 承担 业务 传输 。 这 























(1) 非 堆 又 情况 下 ， 交 换 机 采用 “ 横 位 号 / 子 卡号 /接口 序号 ”的 编号 规则 来 定义 物理 接口 。 此 时 ， 槽 位 


























号 表示 当前 交换 机 的 槽 位 ， 取 值 为 0， 子 卡号 表示 业务 接口 板 支 持 的 子 卡号 〈 对 















































机 ， 子 卡号 也 固定 为 0) ; 接口 序号 表示 交换 机 上 各 接口 的 编排 顺序 号 。 



































(2) 堆 熏 情况 下 ， 交 换 机 采用 “ 堆 倒 号 / 子 卡号 /接口 序号 ”的 编号 规则 来 定义 物理 接 



























































表示 堆 芭 DD， 取 值 为 0 一 8， 子 卡号 表示 业务 接口 板 支持 的 子 卡号 ; 
顺序 号 。 



































于 不 支持 业务 接口 板 的 交换 





。 此 时 ， 堆 赦 号 

















接口 序号 表示 交换 机 上 各 接口 的 编排 


S 系 列 交 换 机 上 一 般 有 两 排 业 务 接口 ， 左 下 接口 从 1 起 始 编号 ， 依 据 先 从 下 到 上 ， 再 从 左 到 右 的 规则 依 








次 递增 编号 ， 如 图 4-1 所 示 。 例 如 ， 左 上 第 一 个 接口 编号 为 0/0/2。 


















































图 4-1 物理 接口 编号 规则 


4.1.3 接口 基本 参数 配置 




















本 节 主 要 介绍 华为 $ 系 列 交 换 机 接口 的 基本 参数 配置 ， 包 括 接口 









































以 及 开启 或 关闭 接口 。 但 这 些 参数 配置 均 是 可 选 配置 ， 因 为 这 些 参数 都 有 缺 省 值 。 





























为 了 方便 管理 和 维护 设备 可 以 配置 接口 的 描述 信息 ， 描 述 接口 所 属 的 设备 、 接 口 类 






































等 信息 ， 以 便 更 好 地 区 分 。 例 如 , “设备 A 连接 到 设备 B 的 GE0/0/1 接 
0/0/1。 











根据 配置 接口 的 流量 统计 时 间 间 隔 功 能 ， 可 以 对 感 兴趣 的 报 文 进行 统计 与 分 析 。 流 量 统 计时 间 间 隔 









































背 述 信息 、 接 口 流量 统计 时 间 间 隔 功能 


型 和 对 端 网 元 设备 
口 * 可 以 描述 为 : To-[DeviceB] GE- 


Ek 


日 





设置 既 可 在 系统 视图 下 配置 ， 又 可 在 具体 接口 视图 下 配置 。 在 系统 视图 下 配置 的 接口 流量 统计 时 间 间 隔 对 





















































时 间 间 隔 配置 为 缺 省 值 的 所 有 接口 生效 ;在 接口 视图 下 配置 的 接口 流 


























量 统计 时 间 间隔 只 八 对 本 接 口 生效 ， 不 


影响 其 他 接口 。 但 在 接口 视图 下 配置 的 时 间 间 隔 的 优先 级 高 于 在 系统 视图 下 配置 的 时 间 间 隔 。 
































接口 基本 参数 的 配置 方法 如 表 4-1 所 示 (没有 严格 的 先后 顺序 ， 

















表 4-1 交换 机 接口 基本 参数 配置 


其 中 的 序号 仅 为 方便 说 明 ) 。 





system-view 
例如 : < HUAWEI> system-view 


进入 系统 视图 





set flow-stat interval interval-time 
例如 : [HUAWEI] set flow-stat 
interval 400 


interface interface-type interface- 
number 

例如 : [HUAWEI] interface Ethernet 
0/0/1 


(可 选 ) 全 局 配置 接口 的 流量 统计 时 间 间 隔 ， 取 值 范围 
为 10 一 600 的 整数 秒 ， 取 值 必须 是 10 的 整数 倍 

缺 省 值 是 300s， 可 用 undo set flow-stat interval 命令 恢 
复 为 缺 省 值 


〈 可 选 ) 键入 要 配置 接口 基本 参数 的 接口 ， 
视图 


进入 接口 





description description 

例如 : [HUAWEI-GigabitEthemet0/0/1] 
description S2700 GigabitEthernet 
0/0/1 





(可 选 ) 设置 接口 的 描述 信息 ， 
空格 ， 区 分 大 小 写 。 描述 以 输入 的 第 一 个 非 空格 字 
符 作为 第 一 个 字符 开始 显示 。 缺 省 情况 下 ， 接 口 描述 信 
息 为 “HUAWEI, HUAWEI oe interface-type interface- 
可 用 undo deseription 命令 恢复 缺 省 


为 1 一 242 个 字符 ， 支 持 


number Interface ”， 


描述 





set flow-stat interval interval-time 
例如 : [HUAWEI-GigabitEthemet0/0/1] 
set flow-stat interval 400 


(可 选 ) 为 以 上 接口 配置 流量 统计 时 间 间 隔 ， 其 他 说 明 
参见 上 面 的 第 2 步 。 当 在 系统 视图 下 的 流量 统计 时 间 间 
隔 配置 与 具体 接口 上 的 配置 不 一 致 时 ， 以 此 处 在 接口 视 
图 下 的 配置 为 准 





shutdown 
例如 : [HUAWEI-GigabitEthemet0/0/1] 
shutdown 





undo shutdown 
例如 : [HUAWEI-GigabitEthemet0/0/1] 
undo shutdown 




















关闭 或 开启 以 上 接口 ， 缺 省 情况 下 ， 接 口 处 于 开启 
状态 。 当 修改 了 接口 的 工作 参数 配置 ， 新 的 配置 不 能 
立即 生效 ， 可 以 依次 执行 shutdown 和 undo shutdown 
命令 或 restart 命令 关闭 和 重启 接口 ， 使 新 的 配置 
生 效 

但 是 Null 接口 
开启 Null 接口 ; 
保持 Up 状态 ， 


- 直 处 于 Up 状态 ， 
Loopback 接口 一 旦 被 创建 ， 也 将 一 直 
也 不 能 使 用 命令 关闭 或 开启 


不 能 使 用 命令 关闭 或 








4.1.4 接口 配置 管理 
在 日 常 的 交换 机 管理 中 ， 特 别 是 在 发 生 交换 机 配置 故障 时 ， 经 常 要 查看 接口 上 的 各 方面 配置 信息 和 运 











行 状态 ， 这 时 可 在 用 户 视图 下 利用 以 下 一 



































时 ， 需 要 在 统计 开始 前 清除 该 接口 下 原 有 的 统计 信息 。 


(1 











) 使 用 





和 统计 信息 ， 


(2 


态 、 接 收 方向 最 近 一 





包括 接口 当前 运 














) 使 月 











jdisplay interface [ interface-type [ interface-number ] ] 命令 查看 所 有 或 
云 行 状态 、 接 口 基本 配置 和 报 文通 过 接口 的 转发 情 
日 display interface brief 命 令 查 看 各 接口 状态 和 配置 的 简要 信息 ， 
段 时 间 的 带宽 利用 率 、 发 送 方 同 最 近 一 段 时 间 的 带宽 利 ) 











具体 接口 











系列 display interface 命 令 或 reset 命令 查看 或 清除 相关 统计 信息 。 
接口 统计 信息 有 助 于 分 析 接 口 的 故障 原因 和 接口 的 工作 状态 ， 但 当 需 要 统计 一 定时 间 内 接 


国 | 的 流量 信息 /已 \ 








的 当前 运行 状态 








况 。 





















































ns 当 要 监控 接口 的 状态 或 检查 接 


诊断 等 。 














) 使 用 


jdisplay ip interface [ interface-type interface-number ] 





口 的 故障 原因 时 ， 可 执 














命令 查看 接口 


包括 接口 的 物理 
] 率 、 接 收 的 错误 报 文 数 和 发 
\ 行 此 命令 ， 根 据 这 些 信息 进行 接口 





状态 、 协议 状 














与 卫 相 关 的 配置 和 统计 信 


息 ， 包 括 接口 接收 和 发 送 的 报 文 数 、 字 节 数 和 组 播报 文 数 ， 以 及 接口 接收 、 发 送 、 转 发 和 丢弃 的 广播 报 文 


的 故障 
(3 
数 。 
(4 


息 ， 包 括 IP 地 址 、 
列 交换 机 中 ， 只 有 像 VLANIF 接口 
只 能 查看 这 类 接口 的 IP 相 关 的 配置 和 统计 信息 。 
有 display interface description [ interface-type [ interface-number ] ] 命令 查看 指定 或 所 有 接口 的 描 











(5) 使 月 
述 信 息 。 

(6) 使 用 
口 的 流量 统计 。 当 需 











) 使 用 














子 网 掩 码 、 物 理 









































对 要 关注 接口 流量 





jdisplay ip interface brief [ interface-type [ interface-number ] ] 命 


、Loopback 接 口 、 


统计 的 时 候 可 以 执行 本 命令 按 接 口 








jdisplay counters [ inbound | outbound ] [ interface interface-type [ interface- number ] ] 命 








令 查 看 接口 与 相关 的 摘要 信 
链 路 和 协议 的 Up/Down 状 态 以 及 处 于 不 同 状态 的 接口 数目 。 在 华为 S 系 
以 太 网 子 接口 等 逻辑 接口 才 可 以 配置 IP 地 址 ， 所 以 也 








令 查 看 接 

















类 型 或 槽 位 信息 查看 接口 入 方向 或 





[= 
里 














出 方向 的 流量 统计 计数 ， 以 人 
(7) 使 用 
接口 的 入 方向 或 出 方向 流量 速率 。 当 需要 按 接 口 类 
口 类 型 或 槽 位 信息 查看 接口 入 方向 或 出 方向 的 流 
(8) 使 用 
。 如 果 需 要 统计 接口 
使 它 重 新 进行 统计 。 
(9) 使 用 


进行 故障 的 定位 与 排 















































到 











il 










































































的 流量 (如 Web 流 量 和 SNMP 流 量 ) 统计 信息 。 但 执行 本 命令 对 display interface 
查看 到 的 接 








人 人 
命令 





息 不 会 影响 。 当 需要 清除 display interface 


人 人 
命令 。 




















interface 











4.2 以 太 网 接口 属性 











网 





为 了 适应 
1. 二 层 以 太 网 接口 
二 层 以 太 网 接口 是 一 种 物理 
二 层 交 换 转发 


中 ， 但 只 能 通 
































网 








接口 








? 






































过 三 层 的 VLANIF 接口 





查 。 


络 需 求 ， 在 华为 系列 交换 机 上 定义 了 以 下 两 种 以 太 网 接 








型 关注 接口 

















流量 速率 的 时 候 ， 月 
速率 ， 以 便于 用 户 进行 故障 的 定位 与 排查 。 
除 指定 接口 的 流量 统计 信 


display counters rate [ inbound | outbound ] [ interface interface-type [ interface-number ] ] 命 


全 





有 户 可 以 执行 本 命 


作 


























reset counters interface [ interface-type [ interface-number ] ] 命令 ; 











reset counters if-mib interface [ interface-type [ interface-number ] ] 命令 清除 指定 或 者 所 有 接 
显示 的 接口 


全 -人 
命令 








在 一 段 时 间 内 的 流量 信息 ， 必 须 在 统计 开始 前 使 用 本 命令 清除 它 原 有 的 统计 信息 ， 





口 
流量 统计 信 



































统计 信息 时 ， 可 以 执行 前 











可 以 通过 配置 各 种 Access、Hybrid、Trunk 和 Tunnel 这 四 种 端 
对 接收 到 的 报 文 进行 











层 路 











加 入 到 一 个 VLAN 中 ， 然 后 为 该 VLANIF 接 口 配 置 IP 地 址 。 








2. 三 层 以 太 网 子 接口 
三 层 以 太 网 子 接口 是 一 种 逻辑 接口 ， 工 作 在 网 络 
个 或 多 个 VLAN， 主 要 用 来 实现 在 三 









































多 个 子 接口 ， 这 样 可 对 来 自 


Se 
注 就 














不 同 VLAN 的 报 文 从 不 同 的 子 接 























当前 版 本 华为 $ 系 列 交换 机 不 支持 三 
均 为 二 层 以 太 网 接口 。 而 且 ， 
接口 板 支 持 三 层 以 太 网 子 接口 











4.2.1 以 太 网 接口 特性 





层 以 太 网 物理 接口 





























在 以 太 网 接口 中 ， 可 以 配置 的 特性 主要 包括 端 
制 和 流量 控制 自动 协商 支持 、 环 回 测试 、 电 缆 检测 、 
1. 端口 组 
华为 $ 系 列 交换 机 支持 端口 




















口 


























并 




















复 配置 工作 量 。 
2. 自 协 商 
自 协商 的 主要 功能 就 是 使 物理 链 路 两 端的 端口 通 
协商 端口 发 送 本 端的 协商 能 力 信息 并 检测 对 端的 信息 
也 收 至 






































组 功能 ， 可 方便 用 户 同上 
在 端口 组 视图 下 输入 一 次 配置 命令 ， 就 可 以 使 该 端口 组 内 的 所 有 端口 都 应 用 该 功能 


I 本 端 发 送 的 协商 信息 时 ， 就 比较 两 端的 能 力 来 建立 起 双方 都 


I 


端口 











民 ， 可 以 配置 耳 地址， 处 理 
层 以 太 网 子 接口 上 收发 YLAN 报 文 。 用 户 可 以 在 一 个 以 太 网 接 
进行 转发 ， 为 用 户 提供 了 很 高 的 灵活 





门类 型 














面 介 绍 的 reset counters 








作 在 数据 链 路 层 ， 不 能 配置 PP 地 址 。 它 可 以 对 接收 到 的 报 文 进行 


加 入 一 个 或 多 个 VLAN 





1 转发 ， 所 以 需要 把 对 应 的 以 太 网 接 











孔 




















， 本 书 中 若 不 做 特殊 说 明 ， 所 指 的 以 太 网 接 
仅 S7700、S9300 和 S9700 三 大 系列 中 的 EE 系列 以 太 网 接口 板 和 F 系列 以 太 
， 其 他 系列 及 S7700、S9300 和 S9700 三 大 系列 中 的 主 控 








口 组 、 接 口 速率 、 双 模式 、 自 动 协商 模式 支持 、 流 量 
隔离 等 方面 。 下 面 对 这 些 特 性 进 


层 协 议 ， 封 装 和 



































性 。 

















板 均 不 支持 。 








吧 | 





一 An 


行 简 单 介 


单 介 绍 。 














过 协商 能 力 信息 交互 来 
一 旦 本 端 收 到 对 端的 





9 




















村 对 端口 组 中 的 多 个 端口 进行 
儿 置 ， 可 大 大 地 减轻 重 

















有 的 共 


自动 选择 同样 的 工作 参数 。 
协商 能 力 信息 ， 

















次 性 配置 。 这 样 只 需 











站 
并 且 得 知 对 端 

















同 最 高 特 


能 的 工作 模式 。 





据 。 
































3， 流量 控制 























自动 协商 的 内 容 主要 包括 接 入 速率 和 流量 控制 参数 。 一 旦 协商 通过 ， 链 路 两 端的 端口 就 以 同样 的 运行 
速率 和 流量 控制 参数 来 工作 。 


























流量 控制 的 作用 是 用 来 控制 发 送 端 的 数据 发 送 速率 ， 使 接收 端 设备 有 能 力 及 时 处 理 来 自发 送 端的 数 







































































当 本 端 和 对 端 设备 都 开启 了 流量 控制 功能 后 ， 如 果 本 端 交 换 机 发 生 拥塞 ， 它 将 向 对 端 设备 发 送 消息 ， 
通知 对 端 设备 暂时 停止 发 送 报 文 ， 而 对 端 设备 在 收 到 该 消息 后 将 暂时 停止 向 本 端 交 换 机 发 送 报 文 ， 从 而 避 





























免 了 报 文 丢 失 现象 的 发 生 。 


4. 电缆 检测 
VCT (Virtua 








以 不 建议 用 户 在 


正常 时 显示 该 


于 定位 和 解决 网 线 问 题 。 

















外 缆 的 总 长 度 ， 当 电线 状态 非 正 常 时 显示 电线 的 故障 类 型 ， 并 且 能 够 给 








存在 故障 。 当 电缆 状态 
故障 点 的 位 置 ， 便 











荡 











] Cable Test， 虚 拟 电 线 检测 ) 功能 可 用 于 检测 接口 所 连 的 电费 是 






































在 芝 


























VCIT 一 般 用 于 链 路 出 现 故 障 时 检测 是 否 因 电 线 故 障 导 致 的 。 由 于 电线 检测 会 导致 业务 的 短暂 中 断 ， 所 






































V 务 正常 运行 时 使 用 。 








5， 环 回 测试 

















用 户 可 以 开启 以 太 网 接口 的 环 回 测试 功能 ， 检 验 以 太 网 接口 能 否 正常 工作 ， 用 以 定位 芯片 内 与 该 接 
相关 的 模块 是 否 日 









































上 现 故 障 。 测 试 时 接口 将 不 能 正常 转发 数据 包 。S 系 列 交换 机 支持 内 部 环 回 测试 模式 ， 该 测 
































试 模式 在 PHY 忌 片 内 部 建立 自 环 。 端 口 设 置 为 该 模式 后 会 产生 一 定数 量 的 测试 报 文 ， 这 些 报 文通 过 PHY 攻 


片 内 部 建立 的 


的 VLAN 资 源 。 采 用 端口 隔离 特性 ， 可 以 实现 同一 VLAN 内 端口 之 间 的 隔离 。 用 户 只 需要 将 端口 加 入 到 隔 


组 中 ， 就 可 以 实现 隔离 组 内 端口 之 间 二 层 数据 的 隔离 。 而 且 这 种 隔离 是 双向 的 ， 即 如 果 将 端口 A 和 B 加 入 


6. 端口 隔离 




















自 环 又 返回 到 该 端口 。 




















为 了 实现 各 接口 发 送 的 报 文 之 间 二 层 隔 离 ， 可 以 将 不 同 的 以 太 网 端口 加 入 不 同 的 YLAN， 但 会 浪费 有 限 





















































到 级 









































一 个 隔离 组 ， 则 从 端口 A 发 送 的 二 层 报 文 不 能 到 达 端 口 B， 从 端口 B 发 送 的 报 文 也 不 能 到 达 端 口 A。 


7. 40GE 接 口 拆 分 





























本 特性 仅 S7700、S9300 和 S9700 三 大 系列 交换 机 支持 。 它 们 的 40GE 接 口 可 以 作为 一 个 单独 的 接口 使 




















Sip 





EE 


4.2.2 以 太 网 端口 组 配置 与 管理 





























]， 也 可 以 拆 分 成 4 个 10GE 接 口 。 这 样 40GE 接 口 板 可 以 作为 高 密度 万 兆 接口 板 使 用 ， 从 而 增加 组 网 灵活 


E， 减 少 用 户 购 置 成 本 。 
































可 以 把 那些 基本 属性 配置 相同 的 端口 加 入 一 个 端口 组 中 ， 然 后 直接 在 端口 组 下 配置 这 些 共同 的 以 太 网 端 
属性 就 可 以 全 面 应 用 到 端口 组 中 的 所 有 成 员 以 太 网 端口 上 了 。 
在 S2700、S3700T 系 列 交换 机 中 仅 支 持 永 久 端 口 组 ， 而 在 S5700、S6700、S7700、S9300 和 S9700 系 列 交 
临时 端口 组 。 两 种 端口 组 功能 相同 ， 不 同 在 于 退出 临时 端口 组 后 ， 该 临时 端口 组 被 系统 自动 





换 机 中 还 支持 


上 节 介 绍 了 ， 





























华为 系列 交换 机 可 以 配置 以 太 网 端口 组 ， 实 现 批 量 配置 ， 以 减少 重复 配置 工作 量 。 这 时 



































































































































删除 。 
1. 配置 永久 端口 组 
配置 永久 端口 组 的 步 又 如 表 4-2 所 示 。 
















































































表 4-2 永久 端口 组 的 配置 步骤 








system-view 
例如 := HUAWEI > 
svstem-view 
port-group port- 
growp- name 

例如 : [HUAWEI] 
port-group 
porteroupl 


sroup-member 
{interface-fpe 
interface-numberl 
[ to interface-type 
interface-mamber? ] } 
=<1-10> 

例如 : [EUAWET 
Port-group porteroup1] 
group-member 
SigabitEthermet0/0/1 


return 

例如 : [HUAWEI- 
Port-sroup-porterou- 
Ppl] return 


display 

port-group [all| 
Port-group-name ] 
例如 : <HUAWEI> 


display port-group 


进入 系统 视图 


创建 并 进入 永久 端口 组 视图 。 参 数 port-group-name 为 1 一 32 个 字符 ， 
不 支持 空格 ， 不 区 分 大 小 写 ， 但 不 能 取 名 为 group 

缺 省 情况 下 ， 系 统 没有 配置 永久 端口 组 ， 可 用 undo port-group { all 
jpori-group-name } 命 令 嗣 除 指定 的 或 者 所 有 永久 端口 组 


将 以 太 网 接口 添加 到 指定 永久 端口 组 中 。 命 令 中 的 参数 说 明 如 下 。 
(1) inierT1pce-hPpe inieTce-mnmiberl [to interface-fype interface-number? ]: 
指定 湛 加 到 永久 端口 组 中 的 以 太 网 接口 。 用 to 连接 的 两 个 接口 ， 表 
示 接 口 范 围 是 在 两 个 接口 编号 之 间 的 所 有 接口 (但 必须 是 相同 类 型 
的 以 太 网 接口 )， 如 果 没 有 指定 to interface-type interface-number2 可 
选 参 数 ， 则 表示 添加 单个 以 太 网 接口 

(2) &=l-10=: 表示 前 面 的 interface-type interface-numberl [to 
interface-Dpe interface-number2 ] 参 数 最 多 可 以 有 10 个 ， 也 就 最 多 可 以 
次 性 添加 10 个 单个 以 太 网 接口 ， 或 者 10 个 连续 编号 范围 的 以 太 网 接口 
【注意 】 在 使 用 to 关键 字 时 委 注意 以 下 几 个 方面 。 

(1) to 关键 字 前 后 的 两 个 接口 必须 在 同一 个 接口 板 上 。 当 有 多 个 接口 板 
的 连续 接口 需要 加 入 时 ， 建 议 分 多 次 执行 该 命令 或 使 用 多 次 to 关键 字 
(2) to 关键 字 前 后 的 两 个 接口 类 型 必须 相同 ， 比 如 月 是 Ethemet 接 
口 ， 或 者 GigabitEthernet 接口 等 

(3) to 关键 字 前 后 的 两 个 接口 必须 是 具有 同一 属性 的 接口 ， 比 如 同 
是 主 接口 或 同 是 子 接口 ( 仅 S7700、S9300 和 S9700 杀 列 交 撞 机 中 的 
EE 杀 列 和 下 柔 列 单 板 支 持 以 太 网 子 接口 )。 如果 是 子 接口 ,to 关键 字 
前 后 的 两 个 子 接口 必须 是 同一 个 主 接口 的 子 接口 

缺 省 情况 下 ， 没 有 以 太 网 接口 添加 到 永久 端口 组 中 ， 可 用 undo 
group-member { interface-type iier 人 ce-mumiper] [ to interface-Dpe 
interface-number2 ] } 你 =1-10= 命 令 和 大 除 当前 永久 端口 组 中 指定 端口 。 
在 S5700 和 S6700 系列 交换 机 中 还 可 用 undo group-member 
all-unavailable-interfoce 命令 晋 除 端口 组 中 所 有 不 可 用 接口 


退出 端口 组 视图 ， 直 接 返 回 用 户 视图 


查看 所 有 或 指定 永久 端口 组 中 的 成 员 接口 信息 。 命 令 中 的 参数 和 选 
项 说 明 如 下 : 

(1) a 二 选 一 可 选项 ， 指 定 查看 所 有 端口 组 及 端口 组 中 的 成 员 端口 
(2) port-group-name: 二 选 一 可 选 参数 ， 指 定 查 看 端口 成 员 的 端口 
组 名 称 

如 果 不 配置 任何 参数 ， 则 显示 所 有 永久 端口 组 的 名 称 





【示例 1】 配 置 接口 GE0O/001 一 GEO/0/3 加 入 端口 组 portgroup1。 


<HUAWEI>system-view 


[HUAWEI] port-group portgroup1 


[HUAWEI-port-group-portgroup1] group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/3 
【示例 2】 查 看 所 有 永久 端口 组 及 其 成 员 接 口 信息 。 从 中 可 以 看 到 交换 机 上 已 创建 了 名 为 1L 和 2 的 两 个 
端口 组 ， 并 且 列 出 了 这 两 个 端口 组 中 的 以 太 网 端口 





<HUAWEI>display port-group all 


Portgroup: 1 
gigabitethernet1/0/1 
gigabitethernet1/0/2 
gigabitethernet1/0/3 
Portgroup: 2 
gigabitethernet2/0/1 
gigabitethernet2/0/2 
gigabitethernet2/0/3 
2. 配置 临时 端口 组 














配置 临时 端口 组 的 方法 很 简单 ， 只 需 在 系统 视图 下 使 用 port-group group-member { interface-type 
interface-numberl [ to interface-type interface-number2 ] } &<1-10> 命 令 即 可 。 其 实 它 是 表 4-2 中 第 2 步 和 第 3 步 








成 员 。 





命令 的 结合 。 有 具体 的 参数 参见 表 4-2 中 的 第 3 步 说 明 。 
【示例 3】 配 置 接口 GE1/0/1~~GE1/0/3 加 入 到 临时 端口 组 中 。 
<HUAWEI>system-view 





a 


[HUAWEI] port-group group-membergigabitethernet 1/0/1 to gigabitethernet 1/0/3 

















4.2.3 以 太 网 接口 基本 属性 配置 与 管理 























以 太 网 接口 基本 属性 包括 Combo 接 口 工作 模式 、 接 口 速率 、 自 协商 功能 、 网 线 类 型 、 双 工 模式 、 流 量 
控制 、 超 大 帧 支持 、 能 效 以 太 网 支持 、 二 /三 层 模 式 切换 等 。 它 们 都 可 直接 在 对 应 的 以 太 网 接口 视图 下 进 和 
配置 的 ， 但 如 果 有 许多 交换 机 端口 的 以 上 属性 配置 一 样 ， 也 可 以 先 按 4.2.2 节 介绍 的 端口 组 ， 然 后 在 端口 纪 
视图 下 进行 批量 配置 。 

说 明 

Combo 接 口 是 一 个 逻辑 接口 ， 一 个 Combo 接 口 对 应 设备 面板 上 一 个 GE 电 接 口 和 一 个 GE 光 接 口 ， 而 在 
设备 内 部 只 有 一 个 转发 接口 。 电 接口 与 其 对 应 的 光 接 口 是 光 电 复 用 关系 ， 两 者 不 能 同时 工作 《〈 例 如 ， 当 激 
活 光 接口 时 ， 对 应 的 电 接口 就 自动 处 于 禁用 状态 ， 反 之 亦 然 ) ， 用 户 可 根据 组 网 需求 选择 使 用 电 接 口 或 光 
接口 。 电 接口 和 光 接 口 共用 一 个 接口 视图 。 当 用 户 需 要 激活 电 接口 或 光 接 口 、 配 置 电 接 口 或 光 接 口 的 属性 
《比如 速率 、 双 工 模式 等 ) 时 ， 在 同一 接口 视图 下 配置 。 

以 太 网 接口 基本 属性 的 缺 省 配置 如 表 4-3 所 示 ， 不 同类 型 以 太 网 在 接口 速率 支持 、 双 工 模式 、 自 动 协商 
模式 、 流 量 控制 和 流量 控制 协商 等 基本 属性 的 缺 省 支持 如 表 4-4 所 示 。 如 果 想 改变 这 些 缺 省 配置 ， 可 按 表 4-5 
所 示 的 方法 选择 性 地 进行 配置 。 
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表 4-3 以 太 网 接口 基本 属性 缺 省 配置 



































基本 属性 缺 省 值 
Combo 接口 工作 模式 | Auto， 即 自动 切换 光 口 模式 与 电 口 模式 
MDI 类 型 Auto， 即 自动 识别 所 连接 网 线 的 类 型 
双 工 模式 自 协商 模式 F， 接 的 双 工 模式 是 与 对 端 协 商 得 到 的 ， 非 自 协商 模式 下 ， 
接口 的 双 工 模式 为 全 双 工 














接口 速率 自 协商 模式 下 ， 接 口 的 速率 是 与 对 端 协商 得 到 的 

非 自 协商 模式 下 ， 接 口 的 速率 为 接口 支持 的 最 大 速率 
上 报 状 态 变 化 延 时 时 间 | 上 报 Up 事件 延 时 时 间 0ms; 上 报 Down 事件 延 时 时 间 0ms 
能 效 以 太 网 未 使 能 





















表 4-4 不 同类 型 以 太 网 接口 的 基本 属性 支持 








接口 类 型 ”| 速率 (Mbit/s) 双 工 模式 流量 控制 自 协 商 
百 光 以太 网 全 双 工 / 半 双 工 
FE 电 接口 全 双 工 / 半 双 工 
全 双 工 / 半 双 工 
全 双 工 / 半 双 工 
全 双 工 
FE 光 接 口 全 双 工 不 支持 
全 双 工 缺 省 情况 下 , GE 
光 接 口 不 支持 自 
2 动 协商 速率 ， 但 
GE 光 接 口 i 可 使 用 speed 
L000 te epee 
命令 来 配置 接口 
速率 自 协 商 功 能 


10 000 不 支持 








不 支持 








干 兆 以 太 网 
GE 电 接 口 

















XGE( 10GE) 
光 接 口 
40GE 
光 接口 








40 000 





























表 4-5 以 太 网 端口 的 基本 属性 配置 步 又 








配置 任务 命令 说 明 


System-view 
例如 : <Sysname> 进入 系统 视图 
System-view 


interface interface- 
typeinterface-number | 进入 以 太 
例如 : [HUAWEI] 网 端口 视 
公共 interface gigabitethemet | 图 
配置 任务 | v04 (二 选 一 ), 可 直接 在 具体 以 太 网 接口 视图 下 个 别 配 
进入 端口 组 | 置 ， 也 可 以 在 对 应 以 太 网 端口 组 视图 下 批量 配置 ， 
portgroupport group- | 视图 ， 在 指 | 根据 实际 需要 选择 
name 定 的 端口 组 
例如 : [HUAWEI] 中 为 各 成 员 
port-group portgroupl | 端口 批量 配 
置 基本 属性 
下 面 是 各 以 太 网 接口 基本 属性 配置 任务 
配置 Combo 接口 工作 模式 。 命 令 中 的 选项 说 明 如 下 。 
。 auto: 多 选 一 选项 ， 指 定 自动 选择 接口 模式 。 如 果 有 光 信号 则 
Ret "| | 选择 光 口 模式 ， 没 有 光 信号 则 选择 电 口 模式 
例如 ，[HUAWEL | 。copper: 多 选 一 选项 ， 强 制 选择 电 口 模式 ， 使 用 双 绞 线 传输 
Combo | GigabitEthernet1/0/1] | 数据 
接口 工作 | combo-port copper |。 fiber: 多 选 一 选项 ， 强 制 选择 光 口 模式 ， 即 使 用 光纤 传输 
模式 配置 | 或 数据 
[HUAWEI-port-group- | 缺 省 情况 下 ， 自 动 切换 光 口 模式 与 电 口 模式 ， 可 用 undo 
portgroup1] combo- | combo-port 命令 恢复 缺 省 的 自动 切换 模式 
port copper 【注意 】Combo 接口 都 是 GE 类 型 接口 ， 所 以 要 在 配置 Combo 接 
口 工作 模式 时 , 在 上 一 步 中 必须 进入 对 应 的 GE 以 太 网 接口 视图 






































配置 XGE 以 太 网 接口 的 工作 模式 〔 仅 适用 于 S7700、S9300 和 
S9700 三 大 系列 中 的 XGE 以 太 网 接口 ). 命 令 中 的 选项 说 明 如 下 。 
。lan: 二 选 一 选项 ， 指 定 接口 工作 在 LAN 模式 

。wan: 二 选 一 选项 ， 指 定 接口 工作 在 WAN 模式 

仅 可 在 XGE 接口 视图 下 孔 置 。 缺 省 情况 下 ，XGE 以 太 网 接口 工 
作 在 LAN 模式 ， 可 用 undo set port-work-mode 命令 恢复 XGE 
接口 的 工作 楼 式 为 献 省 的 LAN 模式 

将 一 个 40GE 接口 拆 分 成 为 4 个 10GE 接口 〈 仅 适用 于 $7700、 

S9300 和 S9700 三 大 系列 中 的 如 GE 以 太 网 接口 )， 需 要 在 第 2 
步 进入 40GE 以 太 网 接口 视图 

读 省 情况 下 ，40GE 接口 作为 一 个 接口 使 用 ,不 拆 分 , 可 用 unde 
Port split 命令 将 4 个 10GE 拆 分 接口 合并 成 一 个 40GE 谱 口 ( 仅 
适用 于 任意 一 个 原来 是 由 40GE 以 太 网 接口 拆 分 的 10GE 以 太 网 
接口 )， 需 要 先 在 第 2 步 中 进入 被 拆 分 的 10GE 以 太 网 接口 视图 


在 自 协商 模式 下 陀 置 以 太 网 接口 可 协商 的 接口 速率 《10Mbit/s、 
100Mbitis 或 1 000Mbitis, 可 多 选 ), FE 电 禄 口 不 支持 1 000 这 个 
多 选项 

缺 省 情况 下 ,以 太 网 电 接口 自 协商 速率 范围 为 接口 支持 的 所 有 速 
率 ， 可 用 uade aute speed 向 令 恢复 以 太 网 电 接口 在 自 协 商 模式 
下 的 协商 速率 为 缺 省 的 接口 支持 的 所 有 速率 


设置 以 太 网 接口 工作 在 非 自 协商 模式 下 ,缺少 情况 
下 , 以 太 网 接口 处 于 自 协商 模式 , 可 用 negotiation 
auto 命令 配置 以 太 网 接口 工作 在 自 协 商 模式 下 
【 注 走 】 在 GE 光 以 太 同 接 口 下 合用 negotiation 
auto 命令 ， 只 能 协商 双 工 和 模式， 不 能 协商 速 亩 。 
如 有 果 要 在 GE 光 接 口 下 局 动 协 商 连 笠 功 能 , 别 需 和 要 
使 用 speed auto-negotiation 命令 。 殷 省 情况 下 ， 
本 使 能 GE 光 接 口述 率 自 座 商 功能 ， 丁 用 undo 
Speed auto-negotiation 合 今 去 使 能 GE 光 禄 口述 这 
自 协商 功能 


也 置 以 太 网 接口 的 接口 速率 (只 能 单 选 , 且 FE 电 
口 不 支持 1 000 这 个 选项 ) 

缺 省 情况 下 , 接口 工作 于 非 自 协商 模式 时 , 它 的 
速率 为 接口 支持 的 最 大 速率 ， 可 用 undo speed 
命令 恢复 以 太 网 接口 在 非 自 协商 模式 下 的 速率 
为 缺 省 值 


配置 以 太 网 接口 的 流量 控制 功能 。 对 应 设备 接口 也 需要 打开 流量 
控制 开关 才能 实现 流量 控制 

页 省 情况 下 ， 未 配置 以 太 网 接口 的 流量 控制 功能 ， 可 用 undo 
flow-control 命令 关闭 以 太 网 接口 的 流量 控制 开关 





negotiation auto 
例如 : [HUAWEI- 
gigabitethernet1/0/1] 
negotiation auto 

或 
[HUAWEI-port-group- 
portgroupl] negotiation 
auto 

flow-control 

例如 : [HUAWEI- 
gigabitethernet1/0/1] 
flow-control negotiation 
或 
[HUAWEI-port-group- 
portgroup] Jflow-con- 
trol negotiation 


配置 以 太 
网 接口 在 
自 协 商 模 
式 下 的 流 
量 控 制 功 
能 


配置 接口 工作 在 自 协 商 模 式 。 缺 省 情况 下 , 以 太 网 
接口 处 于 自 协 商 模式 ， 可 用 undo negotiation auto 
命令 配置 以 太 网 接口 工作 在 非 自 协商 模式 。 但 FE 
光 接 口 、40GE 光 接 口 不 支持 配置 自 协商 功能 


配置 接口 的 流量 控制 自 协商 功能 ,对 端 设 备 接口 也 
条 要 配置 流量 控制 自 协 商 功 能 才能 实现 流量 控制 
自 协商 成 功 ， 且 只 有 电 接 口 支持 此 配置 

缺 省 情况 下 ， 未 配置 接口 的 流量 控制 自 协商 功能 ， 
可 用 undo flow-control negotiation 命令 取消 配置 
以 太 网 接口 的 流量 控制 自 协 商 功 能 





negotiation auto 
例如 : [HUAWEI- 
gigabitethernet1/0/1] 
Begotiation auto 

或 
[HUAWEI-port-group- 
portgroupl] negotiation 
auto 


auto duplex { full | 
half 六 


例如 : [HUAWEI- 
gigabitethernet1/0/1] 
auto duplex half 

或 


[HUAWEI-port-group- 


undo negotiation auto 
例如 : [HUAWEI- 
gigabitethernet1/0/1] 
undo negotiation auto 
或 
[HUAWEI-port-group- 
portgroupl Jundo 
negotiation auto 


duplex { full | half } 
例如 : [HUAWEI- 
gigabitethernet1/0/1] 
duplex full 

或 
[HUAWEI-port-group- 
portgroup1] duplex full 


配置 以 太 
网 接口 在 
自 协 商 模 
式 下 的 双 
工 模式 


配置 以 太 
网 接口 在 
非 自 协商 
模式 下 的 
双 工 模式 


配置 以 太 网 接口 工作 在 自 协 商 模式 ， 同 前 面 介 绍 


配置 以 太 网 电 接口 在 自 协商 模式 下 的 双 工 模式 (full 
代表 全 双 工 模式 ，half 代表 半 双 工 模式 ， 可 多 选 ) 
仅 以 太 网 电 接口 支持 配置 双 工 模式 , 且 GE 电 接口 
速率 为 1 000Mbit/s 时 只 能 为 全 双 工 模式 ， 此 时 如 
果 将 双 工 模式 设置 为 半 双 工时 ,接口 协商 的 速 党 最 
大 为 100Mbit/s, 配置 以 太 网 电 接口 为 双 工 模式 时 ， 
两 端 接 口 的 双 工 模式 要 保持 一 至 

缺 省 情况 下 ， 以 太 网 电 接口 的 双 工 模式 是 和 对 端 接 
口 协商 得 到 的 , 可 用 undo auto duplex 命令 恢复 以 太 
网 电 接口 在 自 协 商 模式 下 的 双 工 模式 为 缺 省 情况 


配置 以 太 网 接口 工作 在 非 自 协商 模式 , 同 前 面 介绍 


配置 以 太 网 电 接口 在 非 自 协商 模式 下 的 双 工 模式 (full 
代表 全 双 工 模式 ， half 代表 半 双 工 模式 )。 当 希望 接口 
在 发 送 数据 包 的 同时 可 以 接收 数据 包 ， 可 以 将 接口 设 
置 为 全 双 工 模式 ; 当 希 望 接口 同一 时 刻 只 能 发 送 数 据 
包 或 接收 数据 包 时 ， 可 以 将 接口 设置 为 半 双 工 模式 
缺 省 情况 下 , 当 以 太 网 电 接口 工作 在 非 自动 协商 模 
式 时 ， 它 的 双 工 模式 为 全 双 工 模式 ， 可 用 undo 
duplex 命令 用 来 恢复 以 太 网 电 接口 在 非 自 协商 模 
式 下 的 双 工 模式 为 缺 省 的 全 双 工 模式 





执行 电缆 
检测 功能 


virtual-cable-test 
例如 : [HUAWEL- 
gigabitethernet1/0/1] 
virtual-cable-test 


mdi { across | auto | 
normal } 

例如 : [HUAWEI- 
gigabitethemet1/0/1] 
mdi normal 

或 
[HUAWEI-port-group- 
porteroupl] mdi normal 


执行 电缆 检测 功能 ， 对 以 太 网 电 接口 连接 电缆 进行 一 次 检测 ， 并 
显示 检测 的 结果 。 仅 可 在 具体 以 太 网 接口 视图 下 配置 。 当 电缆 状 
态 为 正常 时 ， 显 示 信 息 中 的 长 度 是 指 该 电缆 的 总 长 度 ; 当 电 缆 状 
态 非 正常 时 ， 显 示 信 息 中 的 长 度 是 指 从 本 端口 到 故障 位 置 的 长 度 
配置 以 太 网 电 接口 MDI (Medium Dependent Interface， 介 质 相 
关 接口 ) 类 型 。 通过 配置 以 太 网 电 接口 MDI 类 型 ， 可 以 改变 引 
脚 在 通信 中 的 角色 ， 从 而 使 得 接口 的 网 线 适 应 方式 与 实际 使 用 
的 网 线 相 匹配 。 命 令 中 的 选项 说 明 如 下 。 

(1) ‘across: 多 选 一 选项 ， 指 定 以 太 网 电 接口 的 MDI 类 型 为 
Across〔 交 叉 电 缆 类 型 ) 

(2) normal: 多 选 一 选项 ， 指 定 以 太 网 电 接口 的 MDI 类 型 为 
Normal (直通 电线 类 型 ) 

(3) auto: 多 选 一 选项 ， 指 定 以 太 网 电 接口 的 MDI 类 型 为 Auto 
(自动 识别 类 型 )。 自 动 模式 就 是 自动 识别 线 序 ， 并 协商 收发 的 顺 
序 。 保 证 了 不 管 使 用 何 种 线 序 的 网 线 ， 也 不 论 对 端 设 备 是 否 是 同 
种 类 型 的 ， 都 可 以 正常 通信 。 它 的 好 处 就 是 可 以 不 用 考虑 双 绞 线 
的 类 型 ， 也 不 用 关心 对 端 设 备 是 否 支持 MDI， 痢 能 够 正常 工作 

缺 省 情况 下 ， 以 太 网 电 接口 MDI 类 型 也 为 Auto 类 型 ， 接 口 能 
自动 识别 所 连接 网 线 的 类 型 ， 可 用 undo mdi 命令 恢复 以 太 网 
电 接口 MDI 类 型 为 缺 省 的 自动 识别 类 于 

【注意 】 两 台 工 作 于 Across 模式 的 设备 对 接 ， 必 须 使 用 交叉 网 
线 ; 一 端 是 Normal 模式 ， 另 一 端 是 Acress 模式 ， 则 必须 使 用 
直通 网 线 。Auto 类 型 能 满足 绝 大 多 教 的 场合 ,， 仅 当 设备 不 能 获 
取 网 线 类 型 参数 时 ， 需 要 将 模式 手工 设置 为 Across 或 Normal 
使 用 直通 网 线 时 ， 设 备 两 端 应 该 配置 不 同 的 类 型 (如 一 端 为 
Across， 另 一 端 为 Normal); 使 用 交叉 网 线 时 ,设备 两 端 应 该 配置 
相同 的 类 型 (如 同时 为 Across 或 Normal, 或 者 至 少 有 一 端 是 Auto) 





接口 环 回 
功能 使 能 


能 效 
以 太 网 
功能 使 能 


loopback-detect enable 
例如 : [HUAWEI- 
gigabitethernet1/0/1] 
loopback-detect enable 
或 
[HUAWEI-port-group- 
portgroup1] loopback- 
detect enable 
energy-efficient- 
ethernet enable 

例如 : [HUAWEI- 
gigabitethemet1/0/1] 
energy-efficient- 
ethernet enable 

或 
[HUAWEI-port-group- 
portgroupl Jenergy- 
efficient-ethernet enable 


用 来 使 能 接口 的 环 回 检测 功能 ， 使 能 本 功能 后 ，CPU 会 构 

造 检 测报 文 并 向 链 路 上 发 送 。 如 果 端 口上 的 发 送 和 接收 包 
- 致 ， 则 表明 此 端口 的 发 送 和 接收 链 路 正常 ， 端 口 可 以 下 
常 地 进行 业务 转发 

缺 省 情况 下 ， 接 口 的 环 回 检测 功能 处 于 关闭 状态 ， 可 用 undo 

loopback-detect enable 命令 关闭 接口 的 环 回 检测 功能 


使 能 以 太 网 电 接 口 的 能 效 以 太 网 功能 ( 除 S2700、S3700 系列 
外 其 他 支持 VRP 系统 的 Sx700 系列 交换 机 均 支 持 )。 使 用 本 命 
令 使 能 电 接 口 的 能 效 以 太 网 功能 后 ， 当 接口 处 于 业务 空闲 状态 
时 系统 会 自动 调节 给 该 接口 的 供电 ， 当 正常 传输 数据 时 ， 则 恢 
复 接 口 正 常 供 电 

【 注意】 能效 以 太 网 功能 只 能 在 电 接口 上 配置 ， 光 接口 或 
Combo 口 和 10Mbit/s 过 率 的 电 接口 都 不 支持 

缺 省 情况 下 , 未 使 能 电 接口 的 能 效 以 太 网 功能 , 可 用 undo energy- 
efficient-ethernet enable 命令 去 使 能 电 接口 的 能 效 以 太 网 功能 


























配置 任务 命令 说 明 
Po enable | 指定 允许 通过 以 太 网 接 ! 1 的 最 大 由 长 。 参 数 value 的 取 值 范围 在 
例如 : [Sysname- 不 同 S 系列 交换 机 可 能 不 一 样 ， 如 S5700EI 系列 为 1 600 一 9 712 
Ethernet1/0/1] 的 整数 ，S5700SI5710LI 系列 为 1 600 一 10 224 的 整数 ，S5700LI 
接口 jumboframe enable | 系列 为 1536 一 10 240 的 整数 ， S6700 系列 为 1 536 一 12 288 的 整 
最 长 由 5000 数 ，S3700EL/3700SI 系列 为 L600 I 296 的 整数 ， 其 他 系列 为 
配置 或 1 536 一 12 288 的 整数 ， 单 位 是 字 节 
” | [HUAWEI-port-group | 不 同 S 系列 交换 机 允许 通过 的 最 大 帧 长 的 缺 省 值 也 可 能 不 一 样 ， 
如 S3700EL3700SI 系列 为 1 600 字 节 ，S5700ELS700SLS710LI 系 
portgroup]] 列 为 1 600 字 节 ， 其 他 系列 为 9 216 字 节 ， 可 用 undo jumboframe 
jumboframe enable | enable 命令 恢复 接口 允许 通过 的 最 大 帧 长 为 缺 省 人 
将 以 太 网 接口 从 二 层 横 式 切换 到 三 层 横 式 〈 除 S2700 和 S3700 系 
列 外 ， 其 他 支持 VRP 系统 的 Sx700 系列 均 支 持 )。 还 可 通过 undo 
portswitch batch interface-type { interface-number!l [ to interface- 
undo portswitch nmumber2] } &<1-10> 命 | 1 切换 到 三 层 模式 〈S2700、 
的 S3700 和 S9300 系列 不 支持 该 命令 
二 /三 层 | porecieh we | 当 需 要 使 用 某 个 交换 机 以 太 网 接 口 作 在 PE (提供 商 过 缘 ) 与 CB 
模式 切换 或 (客户 端 边缘 ) 相连 口 时 ， 需 要 使 用 本 命令 将 二 层 口 切换 为 
[HUAWELport-group- : 层 口 。 但 一 定 要 注意 ,在 华为 S 系列 交换 机 中 ,工作 在 三 层 模 
portgroupl] undo 式 的 以 太 网 接口 也 不 能 配置 IP 地 址 
portswitch 缺 省 情况 ， 以 太 网 接口 工作 在 二 层 模式 ， 可 用 portswitch 或 
portswitch batch iinterface-type { interface-numberl [ to 
interface-number2 ] } &<1-10> (S2700、S3700 和 S9300 系列 不 支持 该 
令 ) 命令 将 单个 或 批量 以 太 网 接口 从 三 层 模式 切换 到 二 层 模式 
【示例 1】 将 一 个 40GE 接 口 拆 分 为 四 个 10GE 接 口 ， 并 重启 接口 板 使 配置 生效 。 


<HUAWEI> System View 





[HUAWEI] interface40GE 1/0/4 
[HUAWEI-40GE1/0/4] port split 
Warning: This command will take effect only after resetting the board. 40GE2/2/0 
/0 will not be changed. 40GE2/2/0/1-40GE2/2/0/7 will be split up into XGE, and t 
he port configuration will be lost when the port type is changed! Continue? [Y/N 


]:y 











Info: Succeeded in setting the configuration. 
[HUAWEI-40GE1/0/4] guit 


[HUAWEI] quit 
<HUAWEI> reset slot 1 


Caution!!! Confirm to reset slot 1 ? [Y/N]:y 


INFO: The board[1| reset 


success! 











【示例 2】 对 以 太 网 
OK) o 输出 信息 中 的 字段 说 








已 


口 





GE1/0/1 连 接 电 
明 如 表 4-6 所 示 。 





<HUAWEI> System-View 


[HUAWEI]| interface giga 


bitethernet 1/0/1 





缆 进 行 检测 。 


[HUAWEI-GigabitEthernet1/0/1] virtual-cable-test 

Warning: The command will stop service for a while, Continue?[Y/N]y 
Pair A length: 189meter(s) 
Pair B length: 189meter(s) 
Pair C length: 189meter(s) 
Pair D length: 189meter(s) 


Pair A state: OK 
Pair B state: OK 





在 检测 结果 中 显示 了 4 对 网 线 全 部 正常 (状态 为 





Pair C state: OK 
Pair D state: OK 








表 4-6 virtual-cable-test 命 令 输 出 信息 字段 说 明 











字段 说 明 
Pair A/B/C/D 表示 网 线 的 4 对 线 
表示 网 线 长 度 : 有 故障 时 为 端口 到 故障 位 置 的 长 度 ;无 故障 时 为 网 线 的 实际 长 
度 。 未 接 网 线 时 为 缺 省 长 度 0 米 
网 线 状 态 ， 包 括 : Ok (正常 )、Open (开路 )、Short (短路 )、Crosstalk 线 序 
错误 )、Unknown (其 他 未 知 故障 原因 ) 












Pair A length 











Pair A state 








4.2.4 接口 频繁 Up/Down 故 障 分 析 与 排除 
































接口 频繁 Up/Down 是 我 们 经 常 遇 到 的 一 个 交换 机 故障 ， 这 通常 是 由 于 链 路 两 端 接口 的 双 工 模式 、 速 
率 、 协 商 模式 配置 不 一 致 造成 的 。 此 时 可 在 交换 机 上 执行 display interface [ interface-type [ interface-number ] 
] 命令 查看 对 应 接口 的 双 工 模式 、 速 率 、 协 商 模式 配置 信息 ， 如 下 所 示 〔 注 意 粗 体 字 部 分 显示 ) ， 然 后 进行 
下 面 的 分 析 。 
<HUAWEI>display interface ethernet 0/0/1 
Ethernet0/0/1 current state : UP 



















































































Line protocol current state : UP 

Description:HUAWEL HUAWEI Series, Ethernet0/0/1 Interface 
Switch Port,PVID : 1,TPID : 8100(Hex),The Maximum Frame Length is 2044 
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0025-9e80-2494 
Port Mode: COMMON COPPER 

Speed : 100, Loopback: NONE 

Duplex: FULL, Negotiation: ENABLE 

Mdi: AUTO 

Last 300 seconds input rate 760 bits/sec, 0 packets/sec 

Last 300 seconds output rate 896 bits/sec, 0 packets/sec 

Input peak rate 12304 bits/sec,Record time: 2010-08-05 10:32:18 
Output peak rate 14568 bits/sec, Record time: 2010-08-03 08:47:01 
Input: 28643 packets, 2734204 bytes 

Unicast : 20923,Multicast : 7703 

Broadcast : 17,Jumbo : 0 

CRC : 0,Giants : 0 

Jabbers : 0Fragments : 0 

Runts : 0,DropEvents : 0 

Alignments : 0,Symbols : 0 

Ignoreds : 0Frames : 0 

Discard : 474,Total Error : 0 

Output: 68604 packets, 8057155 bytes 

Unicast : 20429,Multicast : 14054 

Broadcast : 34121,Jumbo : 0 


Collisions 
Late Collisions 
Buffers Purged :0 


Discard 


0,Deferreds 


0,ExcessiveCollisions 


0,Total Error 


0 


0 


0 


Input bandwidth utilization threshold : 100.00% 
Output bandwidth utilization threshold: 100.00% 
Input bandwidth utilization : 0.01% 
Output bandwidth utilization : 0.00% 


(1) 先 查 看 输出 信息 中 的 Negotiation 字 段 ， 如 果 显 示 为 "ENABLE”， 则 表示 该 接 








下 ;如果 显示 为 "DISABLE”， 则 表示 该 接口 工作 在 非 自 














视图 
以 尝 


下 使 


口 
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4.3 端 


比较 
全 的 
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] 以 使 用 








下 
试 
(2) 查看 输出 信 ， 
用 speed { 10 | 100 


(3) 再 查看 输出 
图 





negotiation 











息 中 
































口 隔 


使 用 undonegotiation auto 命 令 将 
FP 的 Speed 字 段 ， 在 非 自 菇 
| 1000 } 命 令 调整 链 路 两 端 接口 速率 一 致 。 
言 息 中 的 Duplex 字段 ， 有 
下 使 用 duplex { full half } 命 令 调整 链 路 两 端 接 








协商 状态 下 。 保 持 两 边 的 











口 工作 在 自 协商 状态 
协商 模式 一 致 ， 可 在 接口 





























auto 命 令 启用 接口 的 自 

















协商 模式 。 如 果 自 协商 











接口 改 成 非 














自 协 商 模式 ， 然 后 调整 
外 商 模式 下 如 果 设 备 























以 前 为 了 实 
环 烦 ， 而 且 浪 费 了 有 PB 


端口 





























到 陋 
间 的 


4.3.1 


隔离 的 目的 。 采 用 


见报 文 之 间 的 二 、 三 层 隔 离 ， 是 采用 将 不 同 端口 
民 的 VLAN 资 源 。 男 外 ， 在 同一 个 VLANT 








双 工 模式 一 致 。 














模式 下 接口 仍然 频繁 Up/Down， 可 
两 边 接 口 
两 端 接口 速率 不 一 致 ， 则 在 接口 视图 





的 速率 、 双 工 模式 一 致 。 





E 非 自 协 商 模式 下 如 果 设 备 两 端 接 


加 入 不 同 VLAN 的 方法 实现 ， 这 术 





口 双 工 模式 不 一 致 ， 则 在 接 


不 但 配置 




















各 滑 








1 至 少 是 二 层 互 通 的 ， 也 达 不 


到 完 

















端口 B 























离 组 : 
隔离 ， 


， 可 为 用 户 提 供 

















端口 





隔离 配置 与 管理 




















在 要 
方法 
达 接 
组 的 


以 太 
体 的 








阻止 某 个 本 地 端口 发 送 


且 一 个 端口 可 以 加 入 多 个 端口 








更 安全 、 更 灵活 的 组 








的 报 文 到 达 其 他 端口 ， 





接口 A 与 接口 B 之 间 单 





向 隔离 ， 即 接 








。 如 
口 A。“ 端 
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电离 ， 不 


向 隔离 








接口 之 间 互 相 F 
1. 配置 端口 单 
配置 端口 单 向 隔 
网 接口 ， 也 就 使 得 当前 
配置 方法 如 表 4-7 所 示 。 























豆 











A 发 送 的 报 文 不 能 至 
隔离 组 ”是 在 要 实现 一 组 端口 间 相 互 〈 双 向 ) 二 





避 离 特性 就 可 以 实现 同一 VLAN 内 端口 之 间 的 二 属 氏 
网 方案 。 但 这 种 方法 都 仅 适 用 于 在 
隔离 组 。 





电离 ， 只 需要 将 端口 加 入 


同一 交换 机 上 不 同 端口 

















在 华为 系列 交换 机 中 ， 支 持 “ 接 口 单 向 隔离 ”和 "端口 隔离 组 ”这 两 利 





而 不 限制 其 他 端口 








端口 








的 报 文 到 





BB BT 


离 方法 。 “接口 单 向 隔 i J AE 
达 本 地 端口 时 所 采用 的 隔离 
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I 达 接 口 B， 但 从 接口 B 发 送 的 报 文 可 以 到 

















己 
本 < 














司 端口 隔离 组 的 接口 之 间 不 











隔离 。 
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离 的 方法 是 在 具体 的 以 太 网 接口 视 
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口 不 能 发 送 数据 给 这 些 接口 











图 下 指定 





下 指 
， 但 不 限 




















表 4-7 端口 证 





向 隔离 的 配置 步骤 























隔离 时 所 采用 
分 别 介绍 具 


一 个 或 者 多 个 需要 对 当前 接口 隔离 的 其 
央 这 些 端口 发 送 数 


离 


同一 端口 隔 





的 隔离 方法 。 了 


体 的 配置 方法 。 























医 


ee、 


前 端 











给 当前 端口 。 











system-view 
例如 : < HUAWEI > system- 
View 


进入 系统 视图 





port-isolate mode {12 | all } 


例如 ，[HUAWEI] set flow- 
stat interval 400 


(可 选 ) 全 局 配置 端口 隔离 模式 。 命 令 中 的 选项 说 明 如 下 : 
(1) 12: - 选 - 选项， 指定 端口 隔离 模式 为 二 层 隔 离 ， 三 层 互通 
(2) all: 二 选 一 选项 ， 指 定 端口 隔离 模式 为 二 层 和 三 层 都 隔 
离 。 但 S2700 系列 中 除 S2700-S2P-EI、S2700-S2P-PWR-EI 
和 S2710-SI 机 型 外 ， 其 他 机 型 均 仅 支 持 二 层 隔离 ， 三 层 互通 
缺 省 情况 下 , 端口 隔离 模式 为 二 层 隔 离 、 三 层 互通 , 可 用 undo 
port-isolate mode 命令 恢复 端口 隔离 模式 为 缺 省 模式 











2. 配置 端 


口 隔 离 组 





配置 端口 隔离 组 的 方法 只 需要 把 想 相 互 隔离 





又 如 表 4-8 所 示 。 


【示例 】 查 看 交换 机 上 当前 所 有 端口 





interface interface-type interf- 
ace-number 

例如 : [HUAWEI] interface 
Ethernet 0/0/1 


am isolate { interface-type 
interface-number }&<1-8> 

或 

am isolate interface-type 
interface-number [ to interface- 
number ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1]am 
isolate gigabitethernet0/0/2 to 
0/0/4 





表 4-8 端口 


命令 


键入 要 配置 端口 单 向 隔离 的 接口 ， 进 入 接口 视图 








配置 当前 端口 与 指定 端口 的 单 向 隔离 ， 参 数 interface- 
type interface-number 和 interface-type interface-number [ to 
interface-number ] 用 来 指定 要 与 当前 端口 单 向 隔离 的 接口 列 
表 ， 参 数 &<1-8> 用 来 指定 最 多 可 以 有 8 个 接口 或 接口 列表 
【说 明 】〗 端 口 单 向 隔离 支持 不 同类 型 的 端口 混合 隔离 , 但 不 支持 端口 
与 管理 网 口 单 向 隔离 ， 也 不 支持 Eth-Trunk 与 自身 成 员 端 口 单 向 隔离 
缺 省 情况 下 ， 未 配置 端口 单 向 隔离 ， 可 用 undo am isolate 
[ {interface-type interface-number 1&<1-8> ] 或 者 undo am 
isolate [ interface-type interface-number [ to interface-number , ] 
命令 取消 当前 端口 与 指定 端口 的 单 向 隔离 ; 如 果 不 指 定 参 
表示 取消 当前 端口 与 所 有 端口 的 单 向 隔离 配置 














隔离 组 的 配置 步骤 





的 以 太 网 接口 加 入 到 同一 个 隔离 组 中 即 可 ， 





System-view 

例如 : < HUAWEI > system- 
view 

port-isolate mode { 12 | all } 
例如 : [HUAWEI] set flow- 
stat interval 400 


进入 系统 视图 


(可 选 ) 全 局 配置 端口 隔离 模式 , 其 他 说 明 参 见 表 4-7 中 的 第 
2 步 





interface interface-tvpe interf- 
ace-number 

例如 : [HUAWEI] interface 
GigabitEthernet 0/0/1 


键入 要 加 入 端口 隔离 组 的 接口 ， 进 入 接口 视图 





port-isolate enable [ group 


group-id ] 


例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
port-isolate enable group 10 


使 能 端口 隔离 功能 ， 并 把 以 上 端口 加 入 由 可 选 参 数 group-id 指定 
的 端口 隔离 组 中 在 指定 端口 隔离 组 的 同时 会 创建 相应 的 组 )。 
如 果 不 指定 group-id 可 选 参 数 ， 则 缺 省 加 入 的 端口 隔离 组 为 1 
【注意 】 要 相互 隔离 的 端口 一 定 要 加 入 到 同一 个 端口 隔离 组 ， 
否则 不 会 起 到 隔离 的 作用 ， 因 为 同一 端口 隔离 组 的 端口 之 间 
互相 隔离 ， 不 同 端口 隔离 组 的 端口 之 间 不 隔离 

缺 省 情况 下 ， 未 使 能 端口 隔离 功能 ， 可 用 undo port-isolate 
enable 命令 关闭 端口 的 隔离 功能 

















return 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] return 


退出 接口 视图 ， 直 接 返回 用 户 视图 





display port-isolate group 

{ group-id | all 上 

例如 : <SHUAWEI>display port- 
isolate group 10 











隔离 组 的 配置 。 


(可 选 ) 查看 端口 隔离 组 的 成 员 配 置 。 命 令 中 的 参数 和 选项 说 
明 如 下 : 

(1) group-id: 二 选 一 参数 ,指定 要 查看 隔离 组 成 员 配 置信 息 
的 端口 隔离 组 编号 ， 为 1 一 64 的 整数 

(2) all: 二 选 一 选项 ， 指 定 查 看 所 有 已 有 的 端口 隔离 组 的 成 
员 配 置信 息 











从 中 可 以 看 出 ， 当 前 有 两 个 端口 





( 续 表 ) 





隔离 组 (组 号 分 


具体 的 配置 步 


下 











别 为 3 和 4) ， 并 且 可 以 看 到 它们 各 自 所 包括 的 端口 成 
<HUAWEI>display port-isolate group all 








河 

















The ports in isolate group 3: 
GigabitEthernet1/0/1 GigabitEthernet1/0/2 

The ports in isolate group 4: 
GigabitEthernet2/0/1 GigabitEthernet2/0/2 











4.3.2 端口 隔离 配置 示例 























本 示例 拓扑 结构 如 图 4-2 所 示 ，PC1、PC2 和 PC3 连 接 在 同一 交换 机 上 ， 同 属于 VLAN 10， 且 位 于 同一 IP 
网 段 。 现 希望 PC1 与 PC2 之 间 不 能 二 层 互 访 ，PC1 与 PC3 之 间 以 及 PC2 与 PC3 之 间 都 可 以 二 层 互 访 。 











Switch 





GEO/0/3 


PC1 PC2 PC3 
10.10.10.1/24 10.10.10.2/24 10.10.10.3/24 


VLANI0 





图 4-2 端口 隔离 配置 示例 拓扑 结构 









































本 示例 的 配置 很 简单 ， 因 为 需要 PC1 和 PC2 间 不 能 进行 二 层 互 访 ， 所 以 需要 采用 端口 隔离 组 方法 来 进行 
端口 隔离 。 只 需要 将 PC1 和 PC2 所 连接 的 交换 机 端口 (分 别 为 GE0/0/1 和 GE0/0/2〉 加 入 到 隔离 组 中 就 可 以 达 
到 目的 。 
因为 S 系 列 交 换 机 的 端口 隔离 模式 缺 省 是 二 层 隔离 ， 三 层 互通 ， 满 足 本 示例 要 求 ， 所 以 不 需要 另外 配置 
端口 隔离 模式 。 下 面 是 具体 的 配置 步骤 (VLAN 部 分 的 配置 不 包括 在 其 中 〉。 

(1) 配置 GE0/0/1 的 端口 隔离 组 隔离 功能 (假设 加 入 的 端口 隔离 组 号 为 10〉。 

<HUAWEI>system-view 

[HUAWEI] interfacegigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] port-isolate enable group 10 

[HUAWEI-GigabitEthernet0/0/1] quit 

(2) 配置 GE0/0/2 的 端口 隔离 组 隔离 功能 。 注 意 ， 此 时 所 加 的 端口 隔离 组 编号 一 定 要 与 前 面 GE0/0/1 端 
口 加 入 的 端口 隔离 组 的 编号 一 样 。 

[HUAWEI] interfacegigabitethernet 0/0/2 

[HUAWEI-GigabitEthernet0/0/2] port-isolate enable group 10 

[HUAWEI-GigabitEthernet0/0/2] quit 











































































































4.4 逻辑 接口 配置 与 管理 






































在 华为 交换 机 中 ， 除 了 那些 物理 以 太 网 接口 外 ， 还 有 许多 用 于 业务 处 理 的 逻辑 接口 





中 的 主要 逻辑 接口 及 其 特性 说 明 如 表 4-9 所 示 。 


表 4-9 S 系 列 交换 机 中 的 主要 逻辑 接口 及 特性 说 明 





逻辑 接口 类 型 


说 明 


。 有 关 S 系 列 交换 机 








Eth-Trunk 子 接口 





是 一 种 具有 二 层 特性 和 三 层 特性 的 逻辑 接口 ， 能 把 多 个 以 太 网 接口 在 逻辑 上 等 
同 于 一 个 迪 辑 接口 (相当 于 端口 聚合 )， 比 单个 物理 以 太 网 接口 具有 更 大 的 带宽 
和 更 高 的 可 靠 性 。 将 在 本 章 后 面 介绍 Eth-Trunk 链 路 聚合 时 介绍 





Tunnel 接口 


是 一 种 具有 三 层 特性 的 逻辑 接口 ， 隧 道 两 端的 设备 利用 Tunnel 接口 发 送 报 文 、 
识别 并 处 理 来 自 隧道 的 报 文 








VLANIF 接口 





是 一 个 具有 三 层 特性 的 逻辑 接口 ,通过 配置 VLANIF 接口 的 IP 地址 可 实现 Vlan 
间 的 互 访 。 将 在 本 书 第 6 章 介绍 








逻辑 接口 类 型 


说 明 


( 续 表 ) 





以 太 网 子 接口 


以 太 网 子 接口 就 是 在 一 个 主 以 太 网 接口 上 配置 的 虚拟 接口 ， 是 一 种 具有 三 层 特 
性 的 逻辑 接口 ， 主 要 用 于 实现 与 多 个 远 端 进行 通信 。 但 目前 只 有 S5700HI、 
S5710EI 系列 (但 不 能 配置 IP 地 址 )， 以 及 S7700、S9300 和 S9700 系列 EE 系列 
和 下 系列 单 板 (可 以 配置 IP 地 址 ) 支持 子 接口 配置 





Loopback 接口 


是 一 种 具有 三 层 特性 的 逻辑 接口 ， 主 要 应 用 其 接口 状态 永远 是 Up, 并 且 可 以 配 
置 32 位 子 网 掩 码 的 特性 





NULL 接口 

















下 面 仅 介绍 以 太 网 子 接口 、Loopback 接 口 和 NULL 接 口 这 三 种 逻辑 接口 。 




















主要 用 于 路 由 过 滤 等 特性 ， 因 为 任何 送 到 该 接口 的 网 络 数据 报 文 都 会 被 丢弃 














以 太 网 子 接口 可 用 于 VLAN 间 的 三 层 互 通 和 局 域 网 与 广域网 间 的 互联 。 在 三 层 互通 方面 ， 我 们 知道 














VLAN 可 将 一 个 物理 的 LAN 在 逻辑 上 划分 多 个 广播 域 ，VLAN 内 的 主机 可 以 直接 互相 二 / 














己 









































间 的 主机 不 能 互相 二 层 通信 。 要 实现 不 同 VLAN 间 用 户 互通 必须 借用 三 层 技术 。 




















在 华为 设备 中 ， 目 前 有 以 下 两 种 方法 可 实现 





(1) 在 三 层 交 换 机 上 通过 VLANIF 接 口 实现 。 
(2) 在 路 由 器 (包括 S 系 列 中 的 路 由 交换 机 ， 如 S7700、S9300 和 S9700 系 列 ) 上 通过 三 层 以 太 网 接口 实 








现 ， 即 通常 所 说 的 单 臂 路 由 。 














Se 








有 旦 是 传统 的 三 层 以 太 网 接口 不 支持 YLAN 报 文 ， 当 收 至 

















VLAN 间 的 互通 ， 在 三 层 以 太 网 接口 上 可 创建 以 太 网 子 接口 ， 通 过 在 子 接口 上 部 署 终结 





报 文中 的 YLAN 标 签 剥 离 掉 ， 从 而 实现 VLAN 间 的 三 层 互 通 。 


























识别 VLAN 报 文 ， 如 ATM、FR 和 PPP 等 。 这 利 





发 。 























属于 不 同 VLAN 且 位 于 不 同 网 段 的 | 





在 局 域 网 和 广域网 的 互联 方面 ， 局 域 网 内 的 报 文大 多 数 都 带 有 VLAN 标 签 ， 但 是 一 
情况 下 如 果 需 要 将 局 域 网 中 的 VLAN 报 文 转 发 到 广域网 中 ， 则 
需要 在 出 接口 上 创建 子 接口 ，VLAN 报 文 时 先 在 本 地 记录 报 文 的 VLAN 信 息 ， 然 后 剥 掉 VLAN 标 签 后 再 转 
























































慨 通 信 ， 而 VLAN 


JVLAN 报 文 时 会 当成 非法 报 文 而 丢弃 。 为 了 实现 


子 接口 功能 将 VLAN 


些 广域网 协议 并 不 能 

















] 户 ， 可 通过 部 团子 接口 、 配 置 IP 地 址 ( 仅 $S7700/9300/9300E/9700 





系列 支持 ) 并 与 YLAN 相 关联 ， 通 过 三 层 网 络 实现 VLAN 间 通信 。 以 太 网 子 接口 的 配置 步骤 如 表 4-10 所 示 。 


表 4-10 以 太 网 子 接口 的 配置 步 又 


System-view 
例如 : <HUAWEI> system- 
view 


进入 系统 视图 








interface interface-type 
interface-number.subinte-r 
face-number 

例如 : [HUAWEI] interface 
GigabitEthernet 0/0/1.1 


ip address ip-address 

{ mask | mask-length } 
[sub] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1.1] 
ip address 192.168.0. 
10 255.255.255.0 


dotiq termination vid 
low-pe-vid [ to higti-pe-vid ] 
例如 : [HUAWEI- 
GigabitEthernet0/0/1.1] 
dotlq termination vid 4 


qing termination pe-vid 
pe-vid ce-vid ce-vidl [to 
ce-vid?2 ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1.1] 
dinq termination pe-vid 
4ce-vid 10 to 12 








进入 指定 以 太 网 子 接口 的 视图 ( 仅 S$700HI/S710EI 系列 、 
S7700/9300/9300E/9700 系列 EE 系列 和 下 系列 单 板 支持 )。 命令 中 
的 参数 说 明 如 下 。 

(1) interface-type interfice-mumber: 指定 要 划分 子 接口 的 物理 以 太 网 接口 
(2) .subinterface-number : 指定 创建 的 子 接口 编号 ， 取 值 范围 为 
1 一 4 096 整数 

但 Eth-Trunk 中 的 成 员 以 太 网 接口 上 不 能 创建 子 接口 


(可 选 ) 为 以 太 网 子 接口 配置 IP 地址 ( 仅 $7700/9300/9300E/9700 
系列 E 系列 和 下 系列 单 板 支持 ), 命令 中 的 参数 和 选项 说 明 如 下 。 
(1) jp-address: 指定 子 接口 的 了 地 址 

(2) mask: 二 选 一 参数 ， 指 定子 接口 IP 地 址 对 应 的 子 网 掩 码 
(3) mask-length : 二 选 一 参数 ， 指 定子 接口 IP 地 址 对 应 的 子 网 
掩 码 长 度 

(4) sub: 可 选项 ， 指 定 所 配置 的 卫 地址 为 子 接口 的 从 也 地 址 ， 
如 果 不 选择 此 可 选 琐 ， 则 配置 的 吓 地 址 为 子 接口 的 主 趾 地 址 
当 为 一 个 以 太 网 子 接 日 配置 两 个 乃至 两 个 以 上 的 于 地 址 时 ， 对 
第 二 个 及 以 后 的 他 地址 必须 用 关键 字 sub 指示 

缺 省 情况 下 ， 在 子 接口 上 没有 配置 IP 地 址 ， 可 用 undo ip address 
轨 -address 4 mask | mask-iength [sub ] 删除 子 接口 上 指定 的 IP 地 址 
配置 子 接口 对 一 层 Tag 报 文 的 终结 功能 命令 
中 的 参数 说 明 如 下 ， 

(1) low-pe-vid: 指定 用 户 报 文中 的 VLAN 标签 
的 取 值 下 限 ， 芭 值 范围 为 2 一 4 094 的 整数 

(2) high-pe-vid: 可 选 参数 ， 指 定 用户 报 文中 的 
VLAN 标签 的 到 值 上 限 ， 了 到 值 范围 为 2 一 4 094 


(二 选 一 ) 根据 
VLAN 报 文 扒 
带 的 Tag 层 数 


可 以 将 VLAN 
报 文 分 为 Dotlq 
报 文 ( 带 有 一 层 | 的 路 数 


ENE” 和 | 子 接口 收 到 的 用 户 报 文 的 VLAN 标签 值 应该 在 
有 两 层 VLAN 命令 中 指定 的 pe-vid 范围 内 ， 耕 则 该 报 文 将 被 
Tag)。 相应 的 终 丢弃 ,但 当 子 接口 用 于 三 层 转 发 时 (实现 VLAN 
结 也 分 为 两 种 间 互 通 ， 也 就 是 我 们 平常 所 说 的 单 民 路由), 不 
Dotlq 终 结 用 来 支持 将 通过 的 VLAN 配置 成 一 段 
终结 Dotlq 报 缺 省 情况 下 ， 子 接口 没有 配置 dotlq 封装 的 单 
站 QinQ 终结 屋 VLAN ID, 可 用 undo dotlq termination vid 
用 来 终结 QinQ low-pe-vid [ to high-pe-vid ] 命令 取消 子 接口 
报 文 ,您 可 以 根 dot1q 封装 的 单 层 VLAN ID 

据 实际 情况 选 | 配置 子 接口 对 两 层 Tag 报 文 的 终结 功能 ,命令 
择 这 两 条 命令 | 中 的 参数 说 明 如 下 : 

之 一 来 进行 配 | (1) Pe-vid; 指定 PE 的 VLAN ID， 即 允许 通过 
团 。 接 收报 文 | 的 外 层 VLAN 标签 的 值 ， 取 值 范围 为 2 一 4094 
时 , 测 掉 报 文中 | 的 整数 、 pe 
携带 的 Tag 后 | (2) ce-vid/: 指定 CE 的 VLAN ID， 即 允许 通过 
进行 三 主 转 发 。| 的 内 层 VLAN 标签 的 值 ， 用 户 报 文 内 层 VLAN 
转发 出 去 的 报 | 标签 的 到 值 下 限 ， 取 值 范围 为 1 一 4 094 的 整数 
文 是 香 带 | (3) ce-vid2: 可 选 参数 , 指定 CE 的 VLAN ID， 
VLAN 标签 由 | 即 允 许 通 过 的 内 层 VLAN 标签 的 值 ， 用 户 报 文 
出 接口 决定 ; 发 | 内 层 VLAN 标签 的 到 值 上 限 ， 取 值 范围 为 2 一 
送 报 文 时 , 将 相 | 4 094 的 整数 : 

应 的 VLAN 信 | 子 接口 收 到 的 用 户 报 文 的 VLAN 标签 值 应 该 在 命 
息 添加 到 报 文 | 令 中 指定 的 PE 和 CE 的 VLAN 标签 范围 和 内， 天 
中 再 发 送 则 该 报 文 将 被 丢弃 。 但 当 子 接口 用 于 三 层 转发 时 
有 关 VLAN 及 (实现 VLAN 间 互 通 ， 也 就 是 我 们 平常 所 说 的 单 
QinQ 方面 的 知 臂 路 由 )， 不 支持 将 通过 的 VLAN 配置 成 一 段 
识 分 别 参见 本 缺 省 情况 ， 子 接口 没有 配置 QinQ 封装 的 双 层 
书 第 6. 第 7 章 | VLAN ID， 可 用 undo qinq termination pe-vid 
ee-vid 命令 取消 子 接口 QinQ 封装 的 双 层 VLAN ID 











步骤 命令 说 明 





使 能 子 接口 的 ARP 广播 功能 。 因 为 缺 省 情况 结子 接口 
不 能 转发 ARP 广播 报 文 ， 在 收 到 ARP 六 es ee 
这 样 一 来 , 就 无 法 实现 子 接口 上 的 三 层 转 发 功能 。 为 了 允许 终 
结子 接口 能 转发 ARP 广播 报 文 ， 可 以 通过 在 子 接口 上 使 用 本 
命令 使 能 终结 了 接口 的 ARP 播 功能 。 当 IP 报 文 需要 从 终结 
子 接口 发 出 ， 但 是 在 对 应 主 接口 上 没有 目的 主机 相应 的 ARP 
表 项 时 : 

(1) 当 接 入 设备 能 够 主动 发 送 ARP 报 文 时 ， 则 不 需要 配置 
终结 子 接口 的 ARP 广播 功能 ， 就 可 以 实现 从 该 终结 子 接口 
的 转发 。 

(2) 当 接 入 设备 不 能 够 主动 发 送 ARP 报 文 时 ， 如 果 终 结子 
接口 上 未 使 能 ARP 广播 功能 ， 那 么 系统 会 直接 把 该 IP 报 
文 丢 弃 。 此 时 该 终结 子 接口 的 路 由 可 以 看 作 是 黑洞 路 由 。 
如 果 终 结子 接口 上 已 使 能 ARP 广播 功能 , 则 系统 会 构造 带 
VLAN 标签 的 ARP 广播 报 文 ， 然 后 再 从 该 终结 子 接口 发 
送出 去 
使 能 或 去 使 能 子 接口 的 ARP 广播 功能 ， 会 使 该 子 接口 的 路 由 状 
态 发 生 一 次 先 Down 再 Up 的 变化 ， 从 而 可 能 导致 整个 网 络 的 路 
由 发 生 一 次 震荡 ， 影 响 正在 运行 的 业务 

缺 省 情况 下 ， 终 结子 接口 没有 使 能 ARP 广播 功能 undo arp 
broadcast enable 命令 去 使 能 终结 子 接口 的 ARP 广播 功能 


可 用 以 下 命令 查看 以 太 网 子 接口 上 的 相关 配置 : 
(1) display interface [ interface-type [ interface-number [ .subnumber ] ] ] : 查看 指定 或 者 所 有 以 太 网 子 接 
口 的 状态 。 
(2) display dot1q information termination [ interface interface-type interface-number [.subinterface-number ] 
] : 查看 配置 了 dotlq 终 结 的 所 有 接口 的 名 称 以 及 终结 子 接口 对 用 户 报 文 终结 的 规则 数量 。 
(3) display qing information termination [ interface interface-type interface-number [.subinterface-number ] ] 
查看 配置 了 QinQ 终 结 的 指定 或 者 所 有 接口 的 名 称 以 及 终结 子 接口 对 用 户 报 文 终结 的 规则 数量 。 
【示例 1】 在 GE1/0/1.1 子 接口 上 配置 封装 dotlq VLAN 100。 
<HUAWEI>system-view 
[HUAWEI] interface GigabitEthernet1/0/1.1 
[HUAWEI-GigabitEthernet1/0/1.1] dotlgq termination vid 100 
【示例 2】 在 GE1/0/1.1 子 接口 上 配置 封 六 QinQ: 报 文 外 层 VLAN ID 为 100， 内 层 VLAN ID 为 200。 
<HUAWEI>system-view 
[HUAWEI] interface GigabitEthernet1/0/1.1 
[HUAWEI-GigabitEthernet1/0/1.1] qinq termination pe-vid 100 ce-vid 200 
【示例 3】 碍 看 所 有 配置 dot1q 封 装 方式 的 子 接口 信息 。 输 出 信息 字段 说 明 如 表 4-11 所 示 。 
<HUAWEI >display dot1q information termination 
GigabitEthernet0/0/1.3 
Total QinQ Num: 1 


dotlgq termination vid 3 


b 
已 
在 
已 二 


arp broadcast enable 
例如 : [HUAWEI- 
GigabitEthernetO/0/1.1] 
arp broadcast enable 

























































































































































































Total vlan-group Num: 0 


表 4-11 display dot1dq information 命 令 输 出 信息 字段 说 明 


字段 说 明 
GigabitEthernet0/0/1.3 显示 子 接口 的 名 称 








Total QinQ Num 显示 子 接口 对 用 户 报 文 配置 规则 的 数量 
dotlq termination vid 3 显示 子 接口 配置 允许 通过 的 VLAN ID 


Total vlan-group Num 显示 子 接口 下 配置 的 用 户 VLAN 组 的 数量 




















【示例 4】 碍 看 配置 了 QinQ 封装 方式 的 所 有 子 接口 。 输 出 信息 字段 说 明 参 见 表 4-11。 





<HUAWEI >display ging information termination 
GigabitEthernet0/0/1.30 
Total QinQ Num: 1 
qinqg termination pe-vid 300 ce-vid 200 


Total vlan-group Num: 0 














4.4.2 Loopback 接 口 














配置 与 管理 























Loopback 是 一 种 三 层 逻 辑 接口 ， 
后 ， 该 接口 会 一 直 保 持 Up 状 态 
的 目的 。 而 且 Loopback 接 口 








要 应 用 : 


(1) 将 Loopback 接 口 的 IP 地 址 指定 为 报 文 的 源 地 址 ， 可 以 提高 网 络 可 靠 性 。 
(2) 在 一 些 动态 路 由 协议 中 ， 当 没有 配置 Router ID 时 ， 将 选取 所 有 Loopback 接 


作为 Router ID 。 








(3) 在 BGP 协 议 中 ， 将 发 送 BGP 报 文 上 


障 的 影响 。 


(4) Loopback 接 口 可 以 配置 掩 码 为 全 1 的 卫 地 ] 


(5) Loopback 接 口 可 以 配置 IPv4 地 址 ， 可 以 用 
Loopback 接 口 只 能 配置 IP 地 址 及 报 文 的 源 IP 地 址 检查 ， 
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昌 在 一 台 交 换 机 上 可 以 创建 多 个 Loopback 接 口 
《但 是 可 以 删除 ) ， 所 以 用 户 可 通过 配置 Loopback 接 口 
可 以 配置 32 位 掩 码 的 IP 地 址 。 基 于 上 述 特点 ，Loopback 接 








。 创 建 Loopback 接 口 

















达到 提高 网 络 可 靠 性 


证 









































的 源 接口 配置 成 Loopback 接 口 























中 ， 从 而 可 以 节约 耳 地 址 。 
于 绑 定 VPN 实 斧 























表 4-12 Loopback 接 口 的 配置 步骤 





System-view 
例如 : <HUAWEI > system-view 


interface loopback loopback-number 


例如 : [HUAWEI interface loopback 1 


进入 系统 视图 


创建 并 进入 Loopback 接口 视图 。 参 数 loopback- 
number 用 来 表示 要 创建 的 Loopback 接口 编号 , 取 值 
范围 为 0 一 1 023 的 整数 ， 但 对 于 5700-LI 系列 交换 
机 ， 取 值 范围 为 0 一 15 的 整数 





ip address ip-address { mask| mask- 


length } [sub ] 


例如 : [HUAWEI-Loopback1]ip address 


192.168.0.10 255.255.255.0 


为 Loopback 接口 配置 IP 地 址 。 这 里 的 参数 说 明 与 


上 节 介 绍 的 以 太 网 子 接口 卫 地 址 的 配置 是 


- 样 的 ， 


参见 表 4-10 中 的 3 步 








步骤 





ip verify source-address 
例如 : [HUAWEI-Loopback1]ip verify 
source-address 


使 能 Loopback 接口 对 接收 到 的 报 文 进行 源 地 址 合法 


性 检查 ， 
地 址 均 为 


(1) 全 0 或 全 1 的 地 址 
(2) 组 播 地 址 (D 类 地 址 ) 


:法 源 
:法 源 


(3) E 类 地 址 


(4) 非 本 


(5) A、B、 


产生 


(6) 与 入 接口 地 








缺 省 情况 
性 检查 ， 避 


5 接 


C 类 广播 地 址 


用 undo ip verify 
使 能 接口 的 该 功能 


说 明 


也 址 的 报 文 将 被 丢弃 。 如 下 几 种 P 
也 址 。 


的 环 回 地 址 〈 形 式 为 127.x.x.x) 


丝 在 同一 网 段 的 子 网 广播 地 址 
1 不 对 接收 的 报 文 进行 源 地 址 合法 
Source-address 命令 去 




















可 | 








时 ) 或 指定 Loopback 接 口 的 状态 信息 。 











可 以 保证 BGP 会 话 不 受 物理 


通常 有 以 下 几 种 主 





口上 数值 最 大 的 耳 地 址 

















HH 


接口 


上 |、 对 源 IPv4 地 址 进行 校 验 。 
具体 配置 步骤 如 表 4-12 所 示 。 


( 续 表 ) 


jdisplay interface loopback [ loopback-number ] 命令 查看 全 部 〈 当 不 指定 loopback-number 可 选 参数 


【示例 】 查 看 指定 的 Loopback 6 接口 的 状态 。 输 出 











<HUAWEI>display interface loopback 6 


LoopBack6 current state : UP 


Line protocol current state :UP (spoofing) 
Description:HUAWEI HUAWEI Series, LoopBack6 Interface 


Route Port,The Maximum Transmit Unit is 1500 


Internet Address is 1.1.1.9/32 


Input bandwidth utilization : 0.00% 


Output bandwidth utilization : 0.00% 


信息 字段 说 明 如 表 4-13 所 示 。 





表 4-13 display interface loopback 命 令 输 出 信息 字段 说 明 








字段 


说 明 





LoopBack6 current state 


显示 对 应 LoopBack 接 
理 状态 一 直 是 Up 的 


当前 的 物理 状态 , LoopBack 接口 创建 成 功 后 物 





Line protocol current state 


显示 对 应 Loopback 接 


路 协议 状态 也 一 直 是 Up 的 


的 链 路 协议 状态 。Loopback 接口 创建 成 功 后 链 





Description 


显示 对 应 Loopback 接 
description 命令 设置 


口 描述 ， 可 以 使 用 Loopback 接口 视图 下 的 





Route Port,The Maximum 


显示 对 应 Loopback 接 上 





的 最 大 传输 单元 (MTU), 缺 省 值 是 1500 字 节 。 














Transmit Unit is 1500 长 度 大 于 MTU 的 报 文 ， 将 被 分 片 后 再 发 送 。 如 果 设 置 了 不 准 分 片 ， 该 
报 文 会 被 丢弃 
Internet Address is 显示 对 应 Loopback 接口 的 全 地 址 

















4.4.3 配置 NULL 接 口 





























NULL 接 口 由 系统 自动 创建 ， 且 只 有 一 个 编号 为 0 的 NULL 接 口 ， 一 直 保 持 Up 状 态 ， 不 能 进行 像 IP 地 址 
或 封装 其 他 协议 那样 的 配置 。 不 能 用 来 转发 报 文 ， 任 何 发 送 到 该 接口 的 网 络 数据 报 文 都 会 被 丢弃 。 如 果 
在 静态 路 由 中 指定 到 达 某 一 网 段 的 下 一 跳 为 NULL0 接口 ， 则 任何 发 送 到 该 网 段 的 数据 报 文 都 会 被 丢弃 。 我 





















































们 正好 可 以 利用 NULL 接 口 的 这 一 特性 ， 将 需要 过 滤 掉 
制 列表 ， 更 为 简单 。 
例如 : 使 用 如 下 的 静态 路 由 配置 命令 丢弃 所 有 去 往 















































的 报 文 直接 发 送 到 NULL0 接口 ， 而 不 必 配 置 访问 控 





网 段 192.101.0.0 的 报 文 ; 


[HUAWEH ip route-static 192.101.0.0 255.255.0.0NULL 0 


4.5 以 太 网 链 路 聚合 




















链 路 聚合 (Link Aggregation) 在 华为 $ 系 列 交 换 机 中 称 之 为 Eh-Trunk， 是 将 一 组 相同 类 型 的 物理 以 太 
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VLAN 中 (具体 参见 本 书 第 6 章 ) 。 























接口 捆绑 在 一 起 的 逻辑 接口 (就 是 Eth-Trunk 接口 ) ， 是 用 来 增加 带宽 的 一 种 方法 。 但 Eth-Trunk 口 与 物 
里 以 太 网 接口 一 样 ， 也 可 以 配置 成 Access、Hybrid、Trunk 或 Tunnel 端口 类 型 ， 指 导 它 加 入 一 个 或 多 个 























系列 交换 机 支持 手工 和 静态 LACP 两 种 链 路 聚合 模式 ， 可 将 两 个 或 两 个 以 上 物理 接口 捆绑 成 一 个 Eth- 
Trunk 接口 。 当 聚合 链 路 中 一 条 链 路 发 生 故 障 时 ， 故 障 链 路 上 的 流量 还 会 自动 分 担 到 其 他 链 路 上 ， 从 而 保证 
了 业务 传输 不 被 中 断 。 本 节 要 介绍 华为 系列 交换 机 中 各 种 链 路 聚合 方式 的 配置 与 管理 方法 。 


























4.5.1 链 路 聚合 特性 及 产品 文 持 





随 着 网 络 规模 不 断 扩 大 ， 用 户 对 骨干 链 路 的 带宽 和 可 靠 性 提出 越 来 越 高 的 要 求 。 在 传统 技术 中 ， 常 用 





































































































更 换 高 速率 的 接口 板 或 更 换 支 持 高 速率 接口 板 的 设备 的 方式 来 增加 带宽 ， 但 这 种 方案 需要 付出 高 额 的 费 
用 ， 而 且 不 够 灵活 。 采 用 链 路 聚合 技术 可 以 在 不 进行 硬件 升级 的 条 件 下 ， 通 过 将 多 个 物理 接口 捆绑 为 一 个 
逻辑 接口 ， 实 现 增 加 链 路 带宽 的 目的 。 而 且 ， 链 路 聚合 的 备份 机 制 在 有 效 提 高 可 靠 性 的 同时 ， 还 可 以 实现 
流量 在 不 同 物理 链 路 上 的 负载 分 担 。 
如 图 4-3 所 示 ，DeviceA 与 DeviceB 之 间 通 过 三 条 以 太 网 物理 链 路 相连 ， 将 这 三 条 链 路 拥 绑 在 一 起 就 成 为 
了 一 条 逻辑 链 路 Eth-trunk， 这 条 逻辑 链 路 的 带宽 等 于 原先 三 条 以 太 网 物理 链 路 的 带宽 总 和 ， 从 而 达到 了 增 
加 链 路 带宽 的 目的 ， 同 时 ， 这 三 条 以 太 网 物理 链 路 相互 备份 ， 有 效 地 提高 了 链 路 的 可 靠 性 。 
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DeviceA DeviceB 
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4-3 链 路 聚合 示意 图 








目前 华为 S$ 系列 交换 机 上 支持 手工 负载 分 担 Eth-Trunk 链 路 和 LACP (Link Aggregation Control 
Protocol， 人 Eth-Trunk 链 路 两 种 聚合 模式 。 在 CSS 集群 场景 中 支持 Eth-Trunk 接口 本 地 流 
量 优先 转发 ， 还 支持 跨 设 备 的 链 路 聚合 E-Trunk。 

1. 手工 负载 分 担 模式 链 路 聚合 

手工 负载 分 担 模式 是 一 种 最 基本 的 链 路 聚合 方式 。 在 该 模式 下 ，Eth-Trunk 接 口 的 建立 、 成 员 接口 的 加 
入 ， 以 及 哪些 接口 作为 活动 接口 完全 由 手工 来 完成 的 ， 没 有 链 路 聚合 控制 协议 (LACP) 的 参与 。 该 模式 下 
所 有 活动 链 路 都 参与 数据 的 转发 ， 平 均 分 担 流量 ， 因此 称 为 负载 分 担 模式 。 如 果 某 条 活动 链 路 故障 ， 链 路 
聚合 组 ee 中 平均 分 担 流量 。 

手工 负载 分 担 模式 通常 用 于 对 端 设备 不 支持 LACP 协 议 的 情况 下 ， 所 有 S 系 列 交换 机 均 支 持 。 

2. LACP 模 式 链 路 聚合 

LACP 模 式 也 称 “ 静 态 LACP 模 式 ”， 是 一 种 利用 LACP 协 议 进行 聚合 参数 协商 、 确 定 活 动 接 口 和 非 活动 接 
口 的 高 级 链 路 聚合 方式 。 在 LACP 协议 中 ， 链 路 的 两 端 分 别称 为 Actor 和 Partner， 双 方 通过 LACPDU 报 文 交 
互 ， 向 对 端 通告 自己 的 系统 优先 级 、 系 统 MAC、 端 口 优 先 级 、 端 口号 和 操作 key， 对 端 收 到 LACPDU 报 文 后 
将 这 些 信 息 与 其 他 端口 所 保存 的 信息 进行 比较 ， 以 选择 能 够 汇聚 的 端口 。 所 有 S 系列 交换 机 均 支 持 该 特性 
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I 工 





在 该 模式 下 ， 虽 然 Eth-Trunk 接口 的 建立 ， 成 员 接口 的 加 入 也 是 由 手工 配置 完成 的 。 但 与 手工 负载 分 # 
模式 链 路 聚合 不 同 的 是 ， 该 模式 下 活动 接口 的 选择 由 LACP 协 议 报 文 负责 。 也 就 是 说 ， 当 把 一 组 接口 加 入 
Eth-Trunk 接口 后 ， 这 些 成 员 接口 中 哪些 接口 作为 活动 接口 ， 哪 些 接口 作为 非 活动 接口 还 需要 经 过 LACP 协 
议 报 文 的 协商 确定 。 
LACP 模 式 也 称 为 M : N 模 式 ， 因 为 这 种 方式 同时 可 以 实现 链 路 负载 分 担 和 链 路 元 余 备 份 的 双重 功能 
在 链 路 聚合 组 中 M 条 链 路 处 于 活动 状态 ， 这 些 链 路 负责 转发 数据 并 进行 负载 分 担 ， 另 外 N 条 链 路 处 于 非 活动 
状态 作为 备份 链 路 ， 不 转发 数据 ， 当 M 条 链 路 中 有 链 路 出 现 故障 时 ， 系 统 会 从 N 条 备份 链 路 中 选择 优先 级 最 
高 的 接 蔡 出 现 故 障 的 链 路 ， 并 开始 转发 数据 ， 如 图 4-4 所 示 。 
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Eth Trunk 1 Eth Trunk 1 
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Backup link 











图 4-4LACP 模 式 链 路 聚合 示例 





























1 上 分 析 可 知 ，LACP 模式 与 手工 负载 分 担 模式 的 主要 区 别 为 : LACP 模式 有 非 活 动 的 备份 链 路 ， 而 手 
工 负 载 分 担 模式 所 有 成 员 接 口 均 处 于 转发 状态 ， 分 担负 载 流 量 。 在 LACP 模 式 下 ， 聚 合 组 两 端的 设备 中 
LACP 优 先 级 较 高 的 一 端 为 主动 端 ，LACP 优 先 级 较 低 的 一 端 为 被 动 端 。 区 分 主动 端 与 被 动 端的 目的 是 为 了 
保证 两 端 设备 最 终 确 定 的 活动 接口 一 致 ， 如 果 两 端 都 按照 本 端 各 自 的 接口 优先 级 来 选择 活动 接口 ， 两 端 所 
确定 的 活动 接口 很 可 能 不 一 致 ， 活 动 链 路 也 就 无 法 建立 。 因 此 首先 确定 主动 端 ， 被 动 端 按照 主动 端 侧 的 接 
口 优先 级 来 选择 活动 接口 。 

那么 如 何 确定 聚合 链 路 的 主动 端 和 被 动 端 呢 ? 具体 原则 如 下 。 

(1) 根据 聚合 链 路 两 端 设 备 的 系统 LACP 优 先 级 来 确定 : display eth-trunk 命 令 ( 具 体 在 本 章 后 面 介 
绍 ) 中 “System Priority” 字 段 和 Partner 中 的 “SysPri* 字 段 分 别 代 表 本 端 和 对 端 设备 的 系统 LACP 优 先 级 ， 值 越 
小 优先 级 越 高 ， 缺 省 情况 下 该 值 都 为 32 768; 
(2) 如 果 聚 合 链 路 两 端的 系统 LACP 优 先 级 相同 ， 则 按照 链 路 两 端 设备 的 系统 MAC 地 址 来 确定 ，MAC 

地 址 越 小 优先 级 越 高 。display eth-trunk 命 令 中 “System ID” 字 段 和 Partner 中 的 “SystemID” 字 段 分 别 代 表 本 端 和 
对 端 设备 的 系统 MAC 地 址 。 

3. 堆 生 场 景 中 跨 设 备 Eth-Trunk 接 口 支 持 本 地 流量 优先 转发 

交换 机 堆 辣 可 增加 交换 机 整体 的 转发 性 能 ， 而 跨 交 换 机 的 Eth-Trunk 接口 可 实现 交换 机 间 的 备份 、 提 高 
可 靠 性 。 但 是 由 于 Eth-Trunk 接 口 通 过 HASH 算 法 选择 转发 出 接口 ， 在 交换 机 堆 著 没有 任何 故障 的 情况 下 ， 
从 本 交换 机 进入 的 流量 很 可 能 跨 交 换 机 进行 转发 。 这 样 就 增加 了 堆 营 交换 机 之 间 的 带宽 承载 压力 ， 也 降低 
了 流量 转发 效率 。 此 时 可 通过 使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 解决 此 问题 。 
如 图 4-5 所 示 ，DeviceB 和 DeviceC 组 成 堆 关 ， 堆 共 交 换 机 和 DeviceA 之 间 用 Eth-Trunk 连 接 ， 通 过 在 堆 圭 
交换 机 上 使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 可 实现 : 
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DeviceA DeviceA 
人 人 


| Eth-Trunk 


二 一 一 一 一 下 


Eth-Trunk 


(a) 未 使 能 Eth-Trunk 接 口 本 (b) 使 能 Eth-Trunk 接 口 本 
地 流量 优先 转发 功能 地 流量 优先 转发 功能 

-~-- 和 Data flow | 

—— Data flow 2 


专用 堆 付 线 缆 











图 4-5 Eth-Trunk 接 口 本 地 流量 优先 转发 示例 

















(1) 入 本 设备 流量 从 本 设备 转发 。 当 Eth-Trunk 接 口 在 DeviceB 有 出 接口 且 无 故障 时 ，DeviceB 的 Eth- 
Trunk 接 口 转发 表 中 将 只 包含 DeviceB 的 出 接口 。 这 样 DeviceB 到 DeviceA 的 流量 在 通过 HASH 算法 选择 出 接 
口 时 只 能 选中 DeviceB 的 接口 ， 流 量 从 DeviceB 本 设备 转发 出 去 。 

(2) 入 本 设备 流量 跨 设 备 转 发 。 仅 S5700SI5700EI7700/9300/9300E/9700 系 列 交换 机 支持 此 功能 。 当 
Eth-Trunk 接 口 在 DeviceB 本 设备 无 出 接口 或 者 出 接口 全 部 故障 时 ， DeviceB 的 Eth-Trunk 转发 表 中 将 包含 
Eth-Trunk 接口 中 所 有 可 转发 的 出 接口 。 这 样 DeviceB 到 DeviceA 的 流量 在 通过 HASH 算 法 选择 出 接口 时 将 选 
中 DeviceC 上 的 出 接口 ， 流 量 将 通过 DeviceC 跨 设备 转发 。 

4. E-Trunk 

仅 S5700 (但 S5700LI/5700S-LI 除外 ) 、S6700/7700/9300/9300E/9700 系 列 支 持 E-Trunk 。E- 
Trunk (Enhanced Trunk， 增 强 Trunk) 应 用 于 CE 接 入 网 络 时 在 CE 与 双 PE 间 实现 链 路 保护 。 如 图 4-6 所 示 ， 
CE 分 别 通过 一 条 LACP 模式 的 Eth-Trunk1 和 Eth-Trunk2 与 PE1、PE2 相 连 。 这 两 个 Eth-Trunk 构 成 一 条 E- 
Trunk， 在 PE1 与 PE2 之 间 实 现 链 路 聚合 组 的 备份 ， 提 高 网 络 可 靠 性 。 





























































































































图 4-6 E-Trunk 组 网 示例 





4.5.2 手工 负载 分 担 模式 链 路 聚合 配置 任务 








通过 配置 链 路 聚合 可 以 达到 负载 分 担 、 增 加 带宽 、 提 高 可 靠 性 的 
































的 。 





本 节 介 绍 手工 负载 分 担 模式 链 




















路 聚合 的 配置 与 管理 方法 。 首 先 介绍 它 的 基本 配置 任务 ， 也 可 以 说 是 它 的 基本 配置 思路 。 
































1. 创建 链 路 聚合 组 

















这 是 最 先进 行 的 配置 任务 。 每 个 链 路 聚合 组 唯 








在 整个 手工 负载 分 担 模式 链 路 聚合 








的 配置 中 ， 可 分 为 以 下 几 项 基本 的 配置 

















任务 。 


























对 应 着 





合 时 首先 要 创建 这 样 一 个 Eth-Trunk 接 口 。 








2 








配置 链 路 聚合 模式 为 手工 负载 分 担 模式 


个 逻辑 接口 ， 即 Eth-Trunk 接 














。 配 置 链 路 聚 























根据 是 否 启用 链 路 聚合 控制 协议 LACP， 链 路 聚合 分 为 手工 负载 分 担 模式 和 LACP 模 式 。 在 本 节 介 绍 的 








手工 负载 分 担 模式 下 ，Eth-Trunk 的 建立 、 成 员 接 
动 链 路 都 参与 数据 的 转发 ， 平 均 分 担 流量 。 手 
































况 下 。 


a 
注意 


改变 Eth-Trunk 工 作 模式 前 应 确保 该 Eth-Trunk' 


模式 。 
3. 将 成 员 接口 加 入 聚合 组 























创建 了 链 路 聚合 组 ， 并 且 配 置 好 了 
视图 


一 即 可 。 将 成 员 接口 加 入 Eth-Trunk 时 ， 














加 入 成 员 接口 可 基于 Eth-Trunk 接 














(1) 成 员 接 








以 下 


























Vi 
































文 丢弃 、 未 知 单 播报 文 丢 弃 、NDP 功 能 和 NTDP 功 


联合 


有 开口 















































化 和 
能 等 。 











(2) 每 个 Eth-Trunk 接 口 下 最 多 

















(3) 成 员 以 太 网 接口 不 能 配置 企 
地 址 必须 在 Eth-Trunk 接 口上 配置 。 

(4) 在 成 员 以 太 网 接口 

(5) Eth-Trunk 接 口 不 能 嵌 套 ， 


















































的 加 入 完全 由 
工 负 载 分 担 模式 通 


没有 加 入 看 


模式 后 ， 就 要 向 





手 


工 来 配置 ， 而 且 链 路 聚合 组 中 的 所 有 活 


















































常 应 | 








在 对 端 设备 不 支持 LACP 协 议 的 情 














聚合 组 中 添加 以 太 网 接口 
配置 ， 也 可 基于 成 员 接 口 视图 配置 ， 用 户 根 据 
需要 注意 以 下 问题 。 
属性 必须 是 缺 省 值 ， 链 路 类 型 (Hybrid 类 型 ) 、 最 大 广播 流量 百分比 、 最 大 组 播 
量 百 分 比 、 最 大 未 知 单 播 流 量 百 分 比 、 所 属 VLAN、VLAN-Mapping、VLAN-Stacking、QinQ 协 议 号 、 接 
口 优 先 级 、 是 否 允 许 BPDU 报 文通 过 、MAC 地 址 学 习 功 能 、 





E 何 成 员 接 口 ， 否 则 无 法 更 改 Eth-Trunk 的 工作 








成 员 了 。 向 聚合 组 中 
需要 选择 以 下 配置 之 


需 



































静态 加 入 组 播 组 、 广 播报 文 于 弃 、 未 知 组 播报 


只 可 以 包含 8 个 成 员 以 太 网 接口 。 
EF 何 业务 和 静态 MAC 地 址 ， 因 为 此 时 这 些 成 员 接口 上 的 业务 和 MAC 





加 入 Eth-Trunk 时 ， 必 须 为 缺 省 的 Hybrid 类 型 。 


即 一 个 Eth-Trunk 接 口 不 能 是 另 一 个 Eth-Trunk 接 口 的 成 员 。 















































(6 ) 一 个 以 太 网 接口 最 多 只 能 属于 一 个 Eth-Trunk 口中 ， 如 果 需 要 加 入 其 他 Eth-Trunk 接 口 ， 必 须 
先 退出 原来 的 Eth-Trunk 接 口 。 

(7) 一 个 Eth-Trunk 接 口中 的 成 员 接 口 必须 是 同一 类 型 ， 如 要 么 同时 为 百 兆 以 太 网 接口 、 要 么 同时 为 
千 兆 以 太 网 接口 等 。 

(8) 如 果 本 地 设备 创建 了 Eth-Trunk 接口 ， 与 成 员 接 口 直 连 的 对 端 接口 也 必须 捆绑 创建 Eth-Trunk 





接口 ， 和 否则 两 端 不 能 正常 
(9) 当成 员 以 太 网 接口 
是 按照 各 成 员 接 口 来 学 习 的 。 














通信 。 也 就 是 链 路 聚合 必须 在 链 路 两 端 同时 本 


加 入 Eth-Trunk 接 口 后 ， 学 习 MAC 地 址 时 是 按照 Eth-Trunk 接 
























































tb 置 。 














口 来 进行 的 ， 而 不 





(10) Eth-Trunk 链 路 两 端 相连 的 各 成 员 以 太 网 接口 的 数量 、 速 率 、 双 工 模式 、 超 大 帧 支持、 流量 控 

















制 等 属性 配置 必须 一 致 。 
4. 《可 选 ) 配置 活动 接口 数 闵 值 



































本 项 配置 任务 仅 为 保证 Eth-Trunkj 








接口 








二 


























带 来 的 影响 。 设 置 活动 接口 数 下 限 闵 值 是 为 了 保证 最 小 带宽 ， 当 














的 状态 和 带宽 ， 以 减 小 个 别 成 员 链 路 的 状态 变化 对 整 条 聚合 链 路 
前 活动 链 路 数目 小 于 下 限 阔 值 时 ，Eth- 










































































































































































































































































































































































































































































Trunk 接口 的 状态 转 为 Down。 这 时 其 中 的 成 员 不 再 形成 聚合 状态 ， 而 是 恢复 各 处 独立 物理 接口 状态 。 但 活 
动 接口 数 上 限 阔 值 不 适用 于 手工 负载 分 担 模 式 。 

5.( 可 选 ) 配置 负载 分 担 方 式 

缺 省 情况 下 ，Eth-Trunk 的 负载 分 担 是 按 流 进行 的 ， 以 保证 包 的 正确 顺序 ， 即 保证 了 同一 数据 流 的 帧 在 
同一 条 物理 链 路 转发 ， 而 不 同 数据 流 在 不 同 的 物理 链 路 上 转发 从 而 实现 分 担负 载 。 华 为 系列 交换 机 都 可 以 
配置 普通 负载 分 担 模式 ， 即 基于 报 文 的 源 /目的 IP 地 址 或 源 /目的 MAC 地 址 来 分 担负 载 ， 但 对 于 
S5710EI/5700HI6700/7700/9300/ 9300E/9700 系 列 还 可 针对 二 层 报 文 、IP 报 文 和 MPLS 报 文 配置 增强 型 的 负 
载 分 担 模式 。 由 于 负载 分 担 只 对 出 方向 的 流量 有 效 ， 因 此 链 路 两 端 接口 的 负载 分 担 方式 可 以 不 一 致 ， 互 不 
影响 。 由 于 增强 型 的 负载 分 担 模式 配置 比较 复杂 ， 且 在 一 般 的 企业 中 应 用 比较 少 ， 故 在 此 不 作 介 绍 。 

目前 华为 系列 交换 机 所 支持 的 普通 负载 分 担 方式 如 下 。 

(1) dst-ip〔 目 的 IP 地 址 ): 从 报 文中 的 目的 IP 地 址 、 出 端口 的 TCP/UDP 端 口号 中 分 别 选择 指定 位 的 3 
位 数值 进行 异 或 运算 ， 根 据 运 算 结果 选择 Eth-Trunk 链 路 表 中 对 应 的 出 接口 。 结 果 是 ， 来 自 同 一 个 源 瑟 地 
址 而 要 发 送 到 不 同 目 的 卫 地 址 的 数据 包 将 在 Eth-Trunk 链 路 中 的 不 同 端口 上 发 送 ， 以 此 来 实现 负载 均 
衡 。 但 是 来 自 不 同 源 瑟 地 址 但 相同 目的 下 地 址 的 数据 包 总 是 在 Eth-Trunk 链 路 的 同一 个 端口 上 发 送 。 









































(2) dst-mac (〈 目 





的 MAC 地 址 ) : 从 报 文 中 的 











分 别 选 择 指 定位 的 3 位 数值 进行 


























异 或 运算 ， 根 
到 达 同 一 个 MAC 地 址 的 数据 包 将 在 Eth-Trunk 链 路 中 
据 包 采用 不 同 端口 进行 转发 ， 以 此 来 实现 负载 均衡 。 
(3) src-ip( 源 IP 地 址 ): 从 报 文中 的 源 IP 地 址 、 入 端口 的 TCP/UDP 端 
值 进行 异 或 运算 ， 根 据 运 算 结果 选择 Eth-Trunk 链 路 表 : 



































包 将 在 Eth-Trunk 链 路 中 的 不 





同 端 

















选择 指 








不 同 MAC 地 址 主机 的 数据 包 将 在 Eth-Trunk 链 路 : 
机 的 数据 包 总 是 在 Eth-Trunk 链 路 中 相同 的 端 
目的 IP 地 址 的 异 或 )》: 从 报 文中 的 目 








(5) src-dst-ip 〈 源 卫 地 址 与 
式 的 运算 结果 进行 异 
合 源 和 
基于 目 

































































B、 从 IP 地 址 A 到 达 IP 地 址 C， 以 及 从 IP 地 址 C 到 达 IP 地 址 B 


发 。 


(6) src-dst-mac( 源 MAC 地 址 与 目的 MAC 地 址 的 异 或 ) : 从 报 文中 












































6 同一 个 端 


对 应 的 出 接 
上 进行 转发 ， 以 此 来 实现 负载 均衡 。 
的 卫 地 址 不 一 样 的 数据 包 总 是 在 Eth-Trunk 链 路 的 同一 个 端 
(4) src-mac〈 源 MAC 地 址 ) : 从 报 文中 的 源 MACH 
定位 的 3 位 数值 进行 蜡 或 运算 ， 根 和 














目的 MAC 地 址 、VLAN ID、 以 太 网 类 型 及 入 端口 信息 中 
昌 运 算 结 果 选 择 Eth-Trunk 链 路 表 中 对 应 的 出 接 











。 结 果 是 ， 

















口上 进行 转发 

















口 。 结 果 是 ， 





号 中 分 别 选择 指定 位 


日 是 来 








， 不 同 





的 MAC 地 址 的 数 





的 3 位 数 
的 数据 
址 但 目 





来 自 不 同 卫 地 址 
自 同一 个 源 卫 地 ] 
































口上 发 送 。 
也 址 、VLAN ID、 以 太 网 类 型 及 入 端口 信息 中 
尼 运 算 结 果 选 择 Eth-Trunk 链 路 表 ， 


























的 不 同 端 


























口 进行 转发 ， 




















的 卫 地 址 进行 负载 分 配 的 转发 方法 。 
的 IP 地 址 转发 更 适合 时 可 以 采用 。 























在 这 种 





这 在 不 清楚 在 特定 交换 机 上 


:于 源 和 




















对 应 的 出 接口 。 





分 别 


果 是 ， 来 自 





疆 


一 口 





上 进行 转发 ， 但 是 来 自 同一 个 MAC 地 址 主 








日 . AZ 上 


以 此 来 实现 负载 均衡 。 
的 IP 地 址 、 源 IP 地 址 两 种 负载 分 担 模 
或 运算 ， 根 据 运算 结果 选择 Eth-Trunk 链 路 表 中 对 应 的 出 接口 。 这 种 转发 方法 是 一 种 结 

















不 本/ 








FP 的 目的 MAC 地 址 、 源 MAC] 





基于 源 IP 地 址 转发 还 是 采用 
的 耳 地 址 的 均衡 方法 中 ， 从 耳 地 址 A 到 达 IPH 
的 数据 包 使 用 Eth-Trunk 链 路 中 不 同 的 


也 址 
端口 进行 转 


























地 





址 、VLAN ID、 以 太 网 类 型 及 入 端口 信息 中 分 别 选择 指定 位 的 3 位 数值 进行 异 或 运算 ， 根 据 运算 结果 选择 








Eth-Trunk 链 路 表 中 对 应 的 出 接 











。 这 利 














转发 方法 是 一 种 结合 源 和 目的 MAC 地 址 进行 负载 分 配 的 转发 方 


法 。 这 在 不 清楚 在 特定 交换 机 上 是 采用 基于 源 MAC 地 址 转发 还 是 采用 基于 目的 MAC 地 址 转发 更 适合 时 可 











以 采用 。 在 这 种 基于 源 和 目 
主机 C 到 达 主 机 B 的 数据 包 可 以 使 / 






































4.5.3 手工 负载 分 担 模式 链 路 聚合 配 





置 与 管理 























不 同 的 端口 





进行 转发 。 





的 MAC 地 址 的 均衡 方法 中 ， 从 主机 A 到 达 主 机 B、 从 主机 A 到 达 主 机 C， 以 及 从 
jEth-Trunk 链 路 ! 


上 节 介 绍 的 五 项 手工 负载 分 担 模式 链 路 聚合 的 主要 配置 任务 所 对 应 的 





















































表 4-14 手工 负载 分 担 模式 链 路 聚合 的 配置 与 管理 步骤 


创建 链 路 
聚合 组 


system-view 
例如 : <HUAWEI> 
system-view 








进入 系统 视图 








interface 
eth-trunk trunk-id 
例如 : [HUAWEI] 
interface eth-trunk 
10 


创建 Eth-Trunk 接口 ， 并 进入 Eth-Trunk 接口 视图 。 参 数 
trunk-id 用 来 指定 所 创建 的 Eth-Trunk 接口 编号 ， 但 不 同系 
列 产品 的 取 值 范围 有 所 不 同 ， 如 S2700EI 系列 为 0 一 13 的 


整数 ; S2700SI 系列 为 0 一 2 的 整数 ，S3700 系列 为 0 一 19 
的 整数 ，S5700SI 系列 为 0 一 31 的 整数 ， 
S5700L15700S-LLS710EIL/5700EI/S700HL6700 系列 为 0 一 
63 的 整数 ，S7700/9300/9300E/9700 系列 为 0 一 27 的 整数 
可 用 undo interface eth-trunk trunk-id 来 删除 Eth-Trunk 接 
口 ， 但 在 删除 Eth-Trunk 时 ，Eth-Trunk 接口 中 不 能 有 成 员 
以 太 网 接口 





人体 配置 与 管理 步 又 如 表 4-14 所 


( 续 表 ) 


配置 链 路 
聚合 模式 
为 手工 负 
载 分 担 
模式 


mode manual load- 
balance 

例如 : [HUAWEI- 
Eth-Trunkl10]mode 
manual load- 
balance 


trunkport in/erface- 
ype { interface- 
ronber] [to interface- 
mmber2] } &<1-8> 
例如 : [HUAWEI- 
Eth-Trunk10]trank- 
port gigabitethernet 
0/0/] to 0/0/3 


quit 

例如 : [HUAWEI- 
Eth-Trunk10] quit 
interface 
interface-type 
interface-number 
例如 : [HUAWEJ] 
interface 
GigabitEthermetO/0/1 


eth-trunk tmunk-id 


eth-trunk 10 


配置 Eth-Trunk 接口 的 工作 模式 为 手工 负载 分 担 模式 , 该 模 
式 为 链 路 聚合 组 的 创建 和 接口 的 加 入 都 需要 手工 配置 ， 即 
系统 不 会 自动 形成 链 路 聚合 ， 也 不 会 自动 根据 某 些 条 件 加 
入 所 需 的 成 员 以 太 网 接口 。 

因为 缺 省 情况 下 ，Eth-Trunk 接口 的 工作 模式 为 手工 负载 分 
担 模式 ， 所 以 本 项 配置 任务 一 般 情 况 下 是 可 以 不 进行 的 ， 
如 果 当 前 交换 机 上 某 链 路 聚合 组 已 配置 成 其 他 模式 ， 则 可 
用 undo mode 命令 恢复 对 应 Eth-trunk 接口 的 工作 模式 为 缺 
省 的 手工 负载 分 担 模式 

【注意 】 瑟 四 时 需要 保证 本 端 和 对 端的 聚合 模式 一 致 。 即 如 
有 果 本 应 配 置 为 手工 负载 分 担 模式 ， 那 么 对 端 设备 也 必须 要 
配置 为 手工 负载 分 担 模 式 。 另 外 更 改 Eth-trunk 接口 的 工 
作 模 式 需要 在 确保 Eth-trunk 接口 中 不 包含 任何 成 员 以 太 
网 接口 

另外 ， 本 命令 为 覆盖 式 命令 ， 即 当 多 次 执行 该 命令 后 以 最 
后 设 定 的 摸 式 为 最 终 Eth-Trunk 接口 工作 模式 

在 Eth-Trunk 接口 视图 下 添加 成 员 以 太 网 接口 (必须 为 
Hybrid 类 型 )。 接口 在 加 入 Eth-Trunk 时， 接口 的 部 分 属 
性 必须 是 缺 省 值 ， 否 则 将 无 法 加 入 。 命 令 中 的 参数 和 选项 
说 明 如 下 。 

(1) interface-type: 指定 费 加 入 的 成 员 以 太 网 接口 的 接口 类 型 
(2) interface-number1: 指定 要 加 入 的 成 员 以 太 网 接口 的 第 
一 个 接口 的 编号 

(3) interface-number2: 可 选 参数 ， 指 定 要 加 入 的 成 员 以 太 
网 接口 的 最 后 一 个 接口 的 编号 

(4) &<1-8>: 表示 前 面 的 { interface-mumberl [to interface- 
number2 ] } 参 数 最 多 可 有 8 个 ， 因 为 每 个 Eth-Trunk 接口 下 
最 多 可 以 加 入 8 个 成 员 接口 。 但 不 同类 型 的 接口 不 能 加 入 
同一 个 Eth-Trunk 接口 中 

缺 省 情况 下 ，Eth-Trunk 接口 没有 加 入 任何 成 员 接 口 ， 可 用 
undo trunkport interface-type { interface-numberl [ to 
interface-number2 ] } &<1-8> 命 令 在 Eth-Trunk 接口 视图 下 
删除 指定 的 成 员 接口 


退出 Eth-Trunk 接口 视图 ， 返 回 系统 视图 





键入 要 加 入 Eth-Trunk 接口 的 Hybrid 类 型 
在 接口 视图 | 成 员 以 太 网 接口 ， 进 入 接口 视图 
下 添加 成 员 
以 太 网 接口 


将 当前 接口 加 入 指定 的 Eth-Trunk 接口 中 。 
接口 在 加 入 Eth-Trunk 时 ， 接 口 的 部 分 属 
性 必须 是 缺 省 值 

缺 省 情况 下 ， 当 前 接口 不 属于 任何 
Eth-Trunk， 可 用 undo eth-trunk 命令 将 当 
前 接口 从 指定 Eth-Trunk 中 删除 
























配置 任务 | 步骤 命令 
interface eth-trunk 
trunk-id 

例如 : [HUAWEH 
interface eth-trunk 10 





说 明 














(可 选 ) 进 入 Eth-Trunk 接口 视图 , 如 果 前 面 是 在 Eth-Trunk 
接口 视图 下 添加 成 员 接 口 的 ， 则 不 要 进行 此 步 









在 Eth-Trunk 接口 视图 下 配置 链 路 聚合 活动 接口 数 下 限 阐 
值 。 参 数 jink-number 用 来 指定 链 路 聚合 活动 接口 数 下 限 立 
值 ， 除 S2700SI 系列 的 取 值 范围 为 1 一 4 的 整数 外 ， 其 他 支 
持 VRP 系统 的 Sx700 系列 的 取 值 范围 均 为 1 一 8 的 整数 
本 端 和 对 端 设备 的 活动 接口 数 下 限 阔 值 可 以 不 同 。 如 果 下 
限 阔 值 不 同 ， 以 下 限 阔 值 数值 较 大 的 一 端 为 准 。 执 行 本 命 
令 后 ， 当 活动 链 路 数 低 于 所 配置 的 下 限 阔 值 时 ，Eth-Trunk 
接口 状态 变 为 Down， 所 有 的 Eth-Trunk 接口 成 员 不 再 转 
发 数据 ， 能 够 避免 因 活 动 链 路 数目 减少 负载 过 大 而 出 现 丢 
包 的 现象 ; 当 Eth-Trunk 接口 中 活动 接口 数 达 到 设置 的 下 限 
阔 值 时 ，Eth-Trunk 接口 状态 将 变 为 Up 
本 命令 为 覆盖 式 命令 ， 当 多 次 配置 活动 接口 数 下 限 阔 值 后 ， 
以 最 后 一 次 配置 为 最 终 下 限 阔 值 
缺 省 情况 下 ， 活 动 接 口 数 下 限 阔 值 为 1， 可 用 undo least 
active-linknumber 命令 恢复 涌 合 组 活动 接口 数目 的 下 限 疼 
值 为 缺 省 值 
配置 Eth-Trunk 接口 的 普通 负载 分 担 方式 . 命令 中 的 选项 说 
明 如 下 (有关 各 种 负载 分 担 模式 的 说 明 参 见 4.5.2 节 ): 
(1) dst-ip( 目 的 IP 地址 ): 多 选 一 选项 ， 根 据 报 文中 的 目 
的 全 地 址 进行 负载 分 担 
(2) dst-mac( 目 的 MAC 地 址 )， 多 选 一 选项 ， 根 据 报 文中 
的 目的 MAC 地 址 进行 贫 载 分 担 
(3) sre-ip【〔〈 源 IP 地 址 )， 多 选 一 选项 ， 根 据 报 文中 的 源 IP 
地 址 进行 负载 分 担 
(4) src-mac ( 源 MAC 地 址 ): 多 选 一 选项 ,根据 报 文中 的 
源 MAC 地 址 进行 负载 分 担 
(5) sre-dst-ip 〈 源 卫 地 址 与 目的 下 地 址 ): 多 选 一 选项 ， 
同时 根据 报 文中 的 源 了 地 址 与 目的 IP 地址 进行 负载 分 担 
(6) sre-dst-mac ( 源 MAC 地 址 与 目的 MAC 地 址 ); 多 选 
-选项 , 同时 根据 报 文中 的 源 MAC 地 址 与 目的 MAC 地 址 
进行 负载 分 担 
缺 省 情况 下 ，Eth-Trunk 接口 的 负载 分 担 模式 为 src-dst-ip， 
可 用 undo load-balance 命令 恢复 Eth-Trunk 接口 的 负载 分 
担 模式 为 缺 省 的 sre-dst-ip 模式 






(可 选 ) 配 least active- 

置 活动 接 linknumber link- 

口 数 赣 值 number 

6 | 例如 : [HUAWEI- 
Eth-Trunk10] least 
active-linknumber 
4 



























































load-balance 
{ dst-ip | dst-mac | 
(可 选 ) 配 Src-ip | Src-mac | 
惫 普通 负 src-dst-ip | src-dst- 
载 分 担 mac } 

方式 例如 ， [HUAWEI- 
Eth-Trunk10]load- 
balance src-ip 





































可 用 display eth-trunk [ trunk-id [ interface interface-type interface-number |verbose ] ] 命令 查看 所 有 或 者 指 
定 Eth-Trunk 接 口 的 摘要 或 者 详细 〈 选 择 verbose 可 选项 时 ) 配置 信息 ， 可 用 display trunkmembership eth-trunk 
trunk-id 命 令 查 看 指定 Eth-Trunk 接 口 的 成 员 接 口 信息 。 
【示例 1】 查 看 接口 Eth-Trunk 1 手工 负载 分 担 模式 的 配置 信息 。 输 出 信息 字段 说 明 如 表 4-15 所 示 。 
<HUAWEI>display eth-trunk 1 
Eth-Irunkl's state information is: 
WorkingMode: NORMAL Hash Arithmetic: According to SA-XOR-DA 


Least Active-linknumber:2 Max Bandwidth-affected-linknumber:8 
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Operate Status: up Number Of Up Ports In Trunk:2 
PortName Status Weight 

GigabitEthernetl/0/1 Up 1 

GigabitEthernetl/0/2 Up 1 








表 4-15 display eth-trunk 命 令 输出 信息 字段 说 明 


WorkingMode 


Hash arithmetic 


显示 对 应 Eth-Trunk 接口 的 工作 模式 : NORMAL 表示 手工 负载 分 担 
模式 ，STATIC 表示 LACP 模式 
显示 Eth-Trunk 接口 的 hash 算法 。 由 load-balance 命令 配置 的 接口 


| 负载 分 担 模式 决定 





Least active-linknumber 


Max 
bandwidth-affected-linknumber 


Operate status 


显示 对 应 Eth-Trunk 接口 处 于 Up 状态 的 成 员 链 路 的 下 限 阔 值 
显示 影响 对 应 Eth-Trunk 接口 带宽 的 最 大 连接 数 


显示 对 应 Eth-Trunk 接 口 的 状态 :Up 表示 接口 处 于 正常 启动 的 状态 ， 
Down 表示 接口 在 物理 上 出 现 故 障 





Number Of Up Ports in Trunk 
PortName 


显示 对 应 Eth-Trunk 接口 中 处 于 Up 状态 的 成 员 接口 数 
显示 成 员 接口 名 





Status 


Weight 


分 担 模式 下 ， 本 地 成 员 接 口 的 状态 : Up 表示 对 应 成 员 接 
动 的 状态 ，Down 表示 对 应 成 员 接口 在 物理 上 出 现 故障 








| 显示 对 应 成 员 接口 的 权重 








【示例 2】 查 看 Eth-Trunk 2 接口 的 成 员 接 





口 信息 。 输 出 信息 字段 说 明 如 表 4-16 所 示 。 





<HUAWEI>display trunkmembership eth-trunk 2 


Trunk ID: 2 

used status: VALID 

TYPE: ethernet 

Working Mode : Normal 

Number Of Ports in Trunk = 2 
Number Of UP Ports in Trunk = 2 


operate status: up 


Interface GigabitEthernet1/0/1, valid, operate up, weight=1 
Interface GigabitE.thernet1/0/2, valid, operate up, weight=1 


表 4-16 display trunkmembership eth-trunk 命 令 的 输出 信息 字段 说 明 


字段 


说 明 





Trunk ID 


used status 


TYPE 


显示 对 应 Eth-Trunk 接口 的 编号 

显示 对 应 Eth-Trunk 接口 的 状态 ，VALID 表示 对 应 Eth-Trunk 接口 有 
效 ，INVALID 表示 对 应 Eth-Trunk 接口 无 效 

显示 对 应 Eth-Trunk 接口 的 接口 类 型 





Working Mode 


显示 对 应 Eth-Trunk 接口 的 负载 分 担 模式 : Normal 表示 普通 负载 分 担 
模式 ，STATIC 表示 静态 LACP 负载 分 担 模式 





Number Of Ports in Trunk 


显示 对 应 Eth-Trunk 接口 中 包含 的 成 员 接口 个 数 





Number Of UP Ports in Trunk 


显示 对 应 Eth-Trunk 接口 中 包含 的 处 于 开启 状态 的 接口 个 数 





operate status 


Interface 
GigabitEthernet1/0/1, 
valid,operate up,weight=1 








显示 成 员 接口 的 状态 : Down 表示 关闭 成 员 接口 ，Up 表示 开启 成 员 接口 
显示 成 员 接口 GigabitEthernet1/0/1 的 状态 ， 包 括 以 下 两 种 。 

(1) 有 效 状态 : valid 表示 成 员 接口 有 效 ，invalid 表示 成 员 接口 无 效 
(2) 操作 状态 : operate down 表示 关闭 成 员 接口 ，operate up 表示 开启 
成 员 接口 


4.5.4 手工 负载 分 担 模 式 链 路 聚合 配置 示例 

















本 示例 拓扑 结构 如 图 4-7 所 示 ，SwitchA 和 SwitchB 通过 以 太 网 链 路 分 别 连接 VLAN10 和 VLAN20， 且 
SwitchA 和 SwitchB 之 间 有 较 大 的 数据 流量 。 现 希望 SwitchA 和 SwitchB 之 间 能 够 提供 较 大 的 链 路 带宽 使 相同 
VLAN 间 互相 通信 。 同 时 用 户 也 希望 能 够 提供 一 定 的 宛 余 度 ， 保 证 数据 传输 和 链 路 的 可 靠 性 。 





































GEO/0/4 GE0/O/1 GEO/0/1 GEO/0/4 

i 3 GE0/0/2 S Site 
站 & < 

GE0/05 Eth-Trunk 1 Eth-Trunk 1 GE0/005 








图 4-7 手工 负载 分 担 模式 链 路 聚合 配置 示例 拓扑 结构 


























因为 本 示例 并 没有 要 求 提 供 链 路 备份 功能 ， 所 以 可 以 采用 相对 简单 的 手工 负载 分 担 链 路 聚合 方式 来 进 
行 配置 。 五 项 配置 任务 在 表 4-14 中 己 有 详细 介绍 ， 不 再 痪 述 。 但 要 注意 的 是 ，3 个 成 员 接口 GE0/0/1 一 0/0/3 在 
加 入 Eth-Trunk 接 口 前 一 定 要 恢复 为 缺 省 配置 《特别 是 为 缺 省 的 Hybrid 类 型 ) 。 另 外 ， 最 好 将 这 些 成 员 接 
从 缺 省 的 VLAN1 退 出 或 关闭 ， 避 免 出 现 广 播 风 暴 。 因 为 本 示例 中 SwitchA 与 SwitchB 的 配置 是 对 称 的 ， 所 以 
下 面 仅 以 SwitchA 为 例 介 绍 具 体 的 配置 步骤 。 
(1) 在 SwitchA 上 创建 EFth-Trunk 接 口 〈 此 处 为 Eth-Trunkl) ， 指 出 为 手工 负载 分 担 模式 ， 并 加 入 成 员 
接口 GEO/O1 一 0/0/3。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] interface Eth-Trunk1 
[SwitchA-Eth-Trunk1] modemanual l0ad-balance 
[SwitchA-Eth-Trunk1] trunkport gigabitethernet 0/0/1 to 0/0/3 
[SwitchA-Eth-Trunk1] quit 
(2) 创建 VLAN 并 将 其 他 端口 加 入 VLAN 10 或 VLAN 20 中 。 有 关 VLAN 的 具体 创建 和 端口 加 入 方法 参 
见 本 书 第 6 章 相 关内 容 。 
[SwitchA] vlan batch 10 20”#--- 批 量 创建 VLAN 10 和 VLAN 20 
[SwitchA] interface gigabitethernet 0/0/4 
[SwitchA-GigabitEthernet0/0/4] port link-type trunk”#--- 设 置 GE0/0/4 接 口 类 型 为 Trunk 类 型 
[SwitchA-GigabitEthernetO/0/4] port trunk allow-pass vlan 10 ”#--- 人 允许 VLAN 10 的 报 文通 过 
[SwitchA-GigabitEthernet0/0/4] quit 
[SwitchA] interfacegigabitethernet 0/0/5 
[SwitchA-GigabitEthernet0/0/5] port link-type trunk 
[SwitchA-GigabitEthernet0/0/5] port trunk allow-pass vlan 20 
[SwitchA-GigabitEthernet0/0/5] quit 
(3) 配置 Eth-Trunk1 接 口 为 Truank 类 型 ， 并 人 允许 VLAN10 和 VLAN20 通 过 。 
说 明 
Eth-Trunk 接 口 与 物理 以 太 网 接口 一 样 ， 也 可 以 根据 实际 需要 配置 成 各 种 端口 类 型 (因为 是 设备 之 间 的 
链 路 ， 所 以 通常 是 Trunk 或 者 带 标签 的 Hybrid 类 型 ) ， 人 允许 来 自 一 个 或 多 个 VLAN 的 数据 通过 。 有 具体 配置 方 
法 参见 本 书 第 6 章 。 


















































































































































































































































































































































式 ， 


[SwitchA] interface Eth-Trunk 1 
[SwitchA-Eth-Irunk1] port link-type trunk 
[SwitchA-Eth-Irunk1] port trunk allow-pass vlan 10 20 
(4) 配置 Eth-Trunk1 的 负载 分 担 方式 为 src-dst-mac， 即 基于 报 文中 的 源 MAC 地 址 和 目的 MAC 地 址 方 
因为 这 里 是 二 层 VLAN 报 文 。 
[SwitchA-Eth-Trunk1] load-balance src-dst-mac 
[SwitchA-Eth-Trunk1] quit 
配置 好 后 ， 可 在 任意 视图 下 执行 display eth-trunk1 命 令 检 查 Eth-Trunk 是 否 创建 成 功 及 成 员 接 口 是 否 正确 











































































































加 入 。 本 示例 执行 此 命令 后 的 输出 信息 如 下 注意 输出 信息 中 的 粗 体 字 部 分 〉: 


[SwitchA] display eth-trunk 1 

Eth-Irunkl's state information is: 

WorkingMode:NORMAL Hash arithmetic: According to SA-XOR-DA 

Least Active-linknumber: 1 Max Bandwidth-affected-linknumber: 8 

Operate status: up Number Of Up Port In Trunk: 3 

PortName Status Weight 

GigabitEthernet0/0/1 Up 1 

GigabitEthernet0/0/2 Up 1 

GigabitEthernet0/0/3 Up 1 

从 以 上 信息 看 出 Eth-Trunk 1 中 包含 3 个 成 员 接口 GigabitEthermmet0/0/1、GigabitEthernet0/0/2 和 
































GigabitEthernet0/0/3。 成 员 接口 的 状态 都 为 Up， 表 明 配 置 是 成 功 的 。 
































45.5LACP 模 式 链 路 聚合 配置 任务 


























LACP 模式 链 路 聚合 与 上 市 介绍 的 手工 负载 分 担 模式 链 路 聚合 相 比 ， 最 大 的 优势 就 是 既 可 以 实现 负载 








分 担 ， 又 可 以 同时 实现 链 路 备份 。 下 面 先 介绍 它 的 主要 配置 任务 。 





LA 
口 


























在 整个 LACP 模 式 链 路 聚合 的 配置 中 ， 可 分 为 以 下 几 项 基本 的 配置 任务 。 
1. 创建 链 路 聚合 组 
这 一 步 与 上 节 介绍 的 手工 负载 分 担 模式 链 路 聚合 配置 中 的 第 一 项 配置 任务 一 样 。 每 个 链 路 聚合 组 唯一 


















































对 应 着 一 个 逻辑 接口 ， 即 Eth-Trunk 接 口 。 配 置 LACP 模 式 链 路 聚合 时 也 首先 要 创建 这 样 一 个 Eth-Trunk 接 
口 。 


























2. 配置 链 路 聚合 模式 为 LACP 模 式 
在 LACP 模 式 下 ， 同 样 需 手工 创建 Eth-Trunk， 手 工 加 入 Eth-Trunk 成 员 接口 ， 但 活动 接口 的 选择 是 由 
CP 协 商 确定 的 ， 配 置 相 对 灵活 。 改 变 Eth-Trunk 工 作 模 式 前 应 确保 该 Eth-Trunk 中 没有 加 入 任何 成 员 接 
， 否 则 无 法 更 改 Eth-Trunk 的 工作 模式 。 
3. 将 成 员 接 口 加 入 聚合 组 
向 聚合 组 中 加 入 成 员 接 口 可 基于 Eth-Trunk 接 口 视图 配置 ， 也 可 基于 成 员 接口 视图 配置 ， 根 据 需要 选择 



































































































































其 一 即 可 。 在 添加 成 员 接口 时 同样 要 注意 上 节 第 〈3) 项 配置 任务 中 的 注意 事项 。 


























4. 《可 选 ) 配置 活动 接口 数 闵 值 
为 保证 Eth-Trunk 接口 的 状态 和 带宽 ， 可 以 设置 活动 接口 数 的 阔 值 ， 以 减 小 成 员 链 路 的 状态 变化 带 来 














的 影响 。 在 LACP 模 式 的 聚合 链 路 中 可 以 设置 以 下 两 个 阔 值 。 

















(1) 活动 接口 数 下 限 阐 值 ， 设置 活动 接口 数 下 限 闵 值 是 为 了 保证 最 小 带宽 ， 当 衣 
限 闵 值 时 ，Eth-Trunk 接 口 的 状态 转 为 Down。 

(2) 活动 接口 数 上 限 阔 值 : 设置 活动 接口 数 上 限 阔 值 的 目的 是 在 保证 带宽 的 情况 下 提高 网 络 的 可 靠 性 
(这 在 上 节 介 绍 的 手工 负载 分 担 模式 中 是 没有 的 配置 ， 因 在 手工 负载 分 担 模式 中 ， 各 链 路 都 是 用 来 进行 
负载 分 担 的 ， 没 有 备份 链 路 ) 。 当 前 活动 链 路 数目 达到 上 限 阔 值 时 ， 再 向 Eth-Trunk 中 添加 成 员 接 口 ， 不 会 
增加 Eth-Trunk 活 动 接口 的 数目 ， 超 过 上 限 阔 值 的 链 路 状态 将 被 置 为 Down。 

5. 《可 选 ) 配置 负载 分 担 方式 

缺 省 情况 下 ，Eth-Trunk 的 负载 分 担 方式 是 同一 数据 流 的 帧 在 同一 条 物理 链 路 转发 ， 不 同 数据 流 的 帧 在 
不 同 的 物理 链 路 上 转发 ， 保 证 了 数据 包 传 递 的 正确 顺序 。 也 可 以 配置 普通 负载 分 担 模式 ， 基 于 报 文 的 IP 地 
址 或 MAC 地 址 来 分 担负 载 ， 对 于 二 层 报 文 、IP 报 文 和 MPLS 报 文 还 可 以 配置 增强 型 的 负载 分 担 模 式 。 由 于 负 
载 分 担 只 对 出 方向 的 流量 有 效 ， 因 此 ， 链 路 两 端 接口 的 负载 分 担 模式 可 以 不 一 致 ， 两 端 互 不 影响 。 

6. (可 选 ) 配置 系统 LACP 优 先 级 

系统 LACP 优先 级 是 为 了 区 分 链 路 聚合 两 端 设备 优先 级 的 高 低 而 配置 的 参数 。 在 LACP 模 式 下 ， 两 端 设 
备 所 选择 的 活动 接口 必须 保持 一 致 ， 和 否则 链 路 聚合 组 就 无 法 建立 。 而 要 想 使 两 端 活动 接口 保持 一 致 ， 可 以 
使 其 中 一 端 具 有 更 高 的 优先 级 ， 另 一 端 根据 高 优先 级 的 一 端 来 选择 活动 接口 即 可 。 

7. (可 选 ) 配置 接口 LACP 优 先 级 

LACP 模 式 下 可 以 通过 配置 接口 LACP 优 先 级 来 区 分 不 同 接口 被 选 为 活动 接口 的 优先 程度 ， 优 先 级 高 的 
接口 将 优先 被 选 为 活动 接口 。 

8. (可 选 ) 配置 LACP 抢 占 
在 LACP 模 式 下 ， 当 活动 链 路 中 出 现 故 障 链 路 时 系统 会 从 备用 链 路 中 选择 优先 级 最 高 的 链 路 替代 故障 链 
路 ， 如 果 被 蔡 代 的 故障 链 路 恢复 了 正常 ， 而 且 该 链 路 的 优先 级 又 高 于 替代 自己 的 链 路 。 这 时 如 果 使 能 ] 
LACP 优 先 级 抢占 功能 ， 高 优先 级 链 路 会 抢占 低 优 先 级 链 路 ， 回 切 到 活动 状态 ， 和 否则 ， 系 统 不 会 重新 选择 活 
动 接口 ， 故 障 恢复 后 的 链 路 将 作为 备用 链 路 。 在 进行 优先 级 抢占 时 ， 系 统 将 根据 主动 端 接口 的 优先 级 进行 
抢占 。 
在 这 里 还 涉及 一 个 概念 一 一 抢占 延 时 ， 也 就 是 抢占 等 待 时 间 ， 是 指 在 LACP 模 式 的 Eth-Trunk 中 非 活动 接 
口 切换 为 活动 接口 需要 等 待 的 时 间 。 配 置 抢 占 延 时 可 以 避免 由 于 某 些 链 路 状态 频繁 变化 而 导致 Hth-Trunk 数 
据 传 输 不 稳定 的 情况 。 
9. (可 选 ) 配置 接收 LACP 报 文 超时 时 间 
如 果 对 端 链 路 聚合 组 的 某 个 成 员 端 口 发 生 自 环 或 其 他 故障 ， 而 本 端 Eth-Trunk 接口 不 能 及 时 感知 对 端 成 
员 口 状态 的 变化 ， 就 会 导致 本 端 转发 数据 时 仍 按照 本 端 链 路 组 中 活动 接口 进行 负载 分 担 ， 造 成 发 生 故 障 链 
路 上 数据 流量 的 丢失 。 配 置 接口 接收 LACP 报 文 的 超时 时 间 后 ， 如 果 本 端 成 员 口 在 设置 的 超时 时 间 内 未 收 到 
对 端 发 送 的 LACP 协 议 报 文 ， 则 认为 对 端 不 可 达 ， 本 端 成 员 口 状态 立即 变 为 Down， 不 再 转发 数据 。 

与 LACP 模 式 链 路 聚合 相关 参数 的 缺 省 配置 如 表 4-17 所 示 。 


活动 链 路 数目 小 于 下 
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表 4-17 链 路 聚合 参数 缺 省 值 





链 路 聚合 模式 手工 负载 分 担 模式 





活动 接口 数 上 限 阔 值 8 
活动 接口 数 下限 闽 值 1 
系统 LACP 优先 级 








32768 
接口 LACP 优先 级 32768 
LACP 抢占 Disabled 
LACP 抢占 等 待 时 间 30s 
接收 LACP 报 文 超时 时 间 90s 
Eth-Trunk 接口 本 地 流量 优先 转发 Enabled 



































4.5.6 LACP 模 式 链 路 聚合 配置 与 管理 











上 节 介 绍 的 九 项 LACP 模式 链 路 聚合 配置 任务 所 对 应 的 具体 配置 与 管理 步骤 如 表 4-18 所 示 。 








表 4-18 LACP 模 式 链 路 聚合 的 配置 与 管理 步 又 


配置 任务 

















创建 链 路 
聚合 组 


System-view 

例如 : <HUAWEI> 
System-view 
interface eth-trunk 
trunk-id 

例如 : [HUAWEI 
interface eth-trunk 10 


进入 系统 视图 


创建 Eth-Trunk 接口 ， 并 进入 Eth-Trunk 接口 视图 ， 如 
果 该 Eth-Trunk 已 经 存在 ， 本 命令 用 来 进入 Eth-Trunk 
接口 视图 。 其 他 说 明 参 见 4.5.3 节 表 4-14 中 的 第 2 步 





mode lacp 
例如 : [HUAWEI-Eth- 
Trunk10] mode lacp 


配置 Eth-Trunk 接口 的 工作 模式 为 LACP 模式 。 缺 省 情 
况 下 ，Eth-Trunk 的 工作 模式 为 手工 负载 分 担 模式 。 其 
他 说 明 参 见 4.5.3 节 表 4-14 中 的 第 3 步 





将 成 员 接 
口 加 入 聚 
合 组 (有 
两 种 方式 
添加 ， 根 
据 需要 选 
择 其 一 ) 





trunkport interface-type 
{interface-numberl [to 
interface-number2 ] } 
&<1-8> 

例如 : [HUAWEI-Eth- 
Trunk10]trunkport 
gigabitethernet 0/0/1 to 
0/0/3 

quit 

例如 : [HUAWEI-Eth- 
Trunk10] quit 
interface interface- 
type interface-number 
例如 : [HUAWEI 
interface 
GigabitEthernet0/0/1 


eth-trunk trunk-id 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
eth-trunk 10 


在 Eth-Trunk 接口 视图 下 添加 成 员 以 太 网 接口 (Hybrid 
类 型 )。 接 口 在 加 入 Eth-Trunk 时 ， 接 口 的 部 分 属性 必 
须 是 缺 省 值 ， 否 则 将 无 法 加 入 。 其 他 说 明 参 见 4.5.3 节 
表 4-14 中 的 第 4 步 


退出 Eth-Trunk 接口 视图 ， 返 回 系统 视图 








在 成 员 
接口 视 
加 成 员 
以 太 网 
接口 


键入 要 加 入 Eth-Trunk 接口 的 Hybrid 类 型 成 
员 以 太 网 接口 ， 进 入 接口 视图 


将 当前 接口 加 入 指定 的 Eth-Trunk 接口 中 。 
接口 在 加 入 Eth-Trunk 时 ， 接 口 的 部 分 属性 
必须 是 缺 省 值 ， 否 则 将 无 法 加 入 
缺 省 情况 下 ， 当 前 接口 不 属于 任何 
Eth-Trunk， 可 用 undo eth-trunk 命令 将 当前 
接口 从 指定 Eth-Trunk 中 删除 





(可 选 ) 配 
置 活动 接 
口 数 赔 值 


《可 选 ) 配 
置 普通 负 
载 分 担 
方式 


(可 选 ) 配 
惫 系统 
LACP 


interface eth-trunk (可 选 ) 进入 Eth-Trunk 接口 视图 ， 如 果 前 面 是 在 


例 晤 ”HUAWEI | Eth-Trunk 接口 视图 下 添加 成 员 接口 的 ， 则 不 要 进 生 


interface eth-trunk 10 “| 此 步 
least active-linknumber 


link-number Ne pep 
在 Eth-Trunk 接口 视图 下 配置 链 路 聚合 活动 接口 数 下 
例如 ; [HUAWELEth- a | 到 
Trunk10] least active- 限 阔 值 。 其 他 说 明 参见 4.5.3 节 表 4-14 中 的 第 6 步 
linknumber 4 
配置 链 路 聚合 活动 接口 数 上 限 阀 值 ， 取 值 范 围 为 1 一 8 
的 整数 
【说 明 】 配 置 此 命令 后 ,， 如果 当前 活动 接口 数 已 经 达到 
配置 的 上 限 阅 值 ， 再 新 增加 成 员 接 口 不 会 影响 当前 的 
max activeiinknumber 活动 接口 教 目 。 当 加 入 到 汇聚 端口 中 的 成 员 数 目 小 于 
link-number 指定 的 活动 接口 的 最 大 数目 的 时 候 ， 没 有 备份 端口 。 
例如 ; [HUAWEI-Eth- | 未 端 和 对 端 设备 的 活动 接口 元 上 限 赔 值 可 以 不 同 。 如 
Trunk10] max active- 果 上 限 阅 值 不 同 ， 以 上 限 阅 值 教 值 较 小 的 一 端 为 准 
本 命令 为 覆盖 式 命令 ， 当 多 次 配置 链 路 聚合 组 活动 接 
口 数目 上 限 闪 值 后 ， 以 最 后 一 次 配置 为 最 终 上 限 闪 值 。 
剩余 的 链 路 作为 备份 链 路 缺 省 情况 下 ， 活 动 接口 数 上 
限 浆 值 为 8, 可 用 undo max active-linknumber 命令 恢 
复 聚 合 组 活动 接口 数目 的 上 限 赣 值 为 缺 省 值 
load-balance | dst-ip | 
dst-mac | src-ip | Src- 
mae | src-dst-ip | sre- ”| 配置 Eth-Trunk 接口 的 普通 负载 分 担 方式 , 其 他 说 明 参 
dst-mac } 见 4.5.3 节 表 4-14 中 的 第 7 步 。 有 关 各 种 负载 分 担 模 
例如 ; [HUAWEI-Eth- | 式 说 明 参 见 4.5.2 节 相 关内 容 
Trunk10]lioad-balance 


配置 当前 设备 的 系统 LACP 优先 级 ， 取 值 范围 为 0 一 
65 535 的 整数 ， 值 越 小 优先 级 越 高 。 在 两 端 设备 中 选 
择 系统 LACP 优先 级 较 小 一 端 作为 主动 端 ， 如 果 系 统 
LACP 优先 级 相同 则 选择 MAC 地 址 较 小 的 一 端 作 为 主 
lacp priority priority 动员 

例如 [HUAWEI-Eth。 | 【说 明 】 配 置 系 统 优先 级 是 为 了 区 别 本 端 设备 与 对 庙 设 
Trunk10] lacp priority | 备 优先 级 的 高 低 ， 系 统 优先 级 高 的 将 被 选 作 链 路 聚合 
1 组 的 主动 端 ， 即 按照 主动 端 设备 的 链 路 接口 来 选择 活 
动 接口 

缺 省 情况 下 ， 系 统 LACP 优先 级 为 32768， 可 用 undo 
lacp priority 命令 恢复 本 端 设备 的 系统 LACP 优先 级 值 
为 缺 省 值 


例如 : [HUAWEI-Eth- | 退出 Eth-Trunk 接口 视图 ， 返 回 系 统 视图 
Trunk10] quit 


interface interfuace-fype 

interface-number 键入 要 配置 接口 LACP 优先 级 的 成 员 接 口 ， 进 入 接 
例如 : [HUAWEI]interface | 口 视图 

gigabitethernetO/O/1 








(可 选 ) 配 
置 接口 
LACP 
优先 级 


(可 选 ) 配 
置 LACP 
抢占 


lacp priority priority 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
lacp priority 10 


quit 

例如 : 例如: [HUAWEI- 
GigabitEthernet0/0/1] 
quit 


配置 当前 成 员 接 口 的 LACP 优先 级 ， 取 值 范围 为 0 一 
65 535 的 整数 ， 值 越 小 优先 级 越 高 ， 优 先 级 高 的 将 被 
选 作 活动 接口 

【说 明 〗 如 果 在 LACP 模式 下 执行 了 表 中 第 5 步 的 
max actvie-linknumber 命令 配置 了 活动 接口 数目 
上 限 阅 值 ， 当 手工 加 入 链 路 组 的 接口 数 超过 了 该 
阅 值 的 限制 ， 就 需要 选择 哪些 接口 为 活动 接口 ， 
而 设置 接口 LACP 优先 级 即 可 保证 在 LACP 模式 
下 高 优先 级 的 接口 成 为 活动 接口 。 如 果 没 有 执行 
表 中 第 5 步 中 的 max actvie-linknumber 命令 ， 活 
动 接口 上 限 阅 值 为 最 大 值 8。 只 要 手工 加 入 的 成 员 
接口 数值 小 于 8, 就 不 需要 选择 活动 接口 ,所 有 的 
接口 都 处 于 活动 状态 

缺 省 情况 下 ,接口 LACP 优先 级 为 32768, 可 用 undo 
lacp priority 命令 恢复 本 接口 的 LACP 优先 级 值 为 


退出 接口 视图 ， 返 回 系统 视图 











interface eth-trunk 
trunk-id 

例如 : [HUAWEI] 
interface eth-trunk 10 


lacp preempt enable 
例如 : [HUAWEI-Eth- 
Trunk10] lacp preempt 
enable 


lacp preempt delay 
delay-time 

例如 : [HUAWEI-Eth- 
Trunk10] lacp preempt 
delay 20 





进入 Eth-Trunk 接口 视图 


使 能 当前 Eth-Trunk 接口 的 LACP 抢占 功能 。 在 进行 
优先 级 抢占 时 ,系统 将 根据 主动 端 接口 的 优先 级 进行 
抢占 。 但 要 求 Eth-Trunk 两 端 LACP 抢占 功能 使 能 情 
况 配 置 一 致 , 即 统一 使 能 或 不 使 能 缺 省 情况 下 , LACP 
抢占 处 于 去 使 能 状态 

【说 明 】 在 LACP 静态 模式 下 , 如 果 对 应 Eth-Trunk 
接口 使 能 了 抢占 功能 ， 则 当 活 动 链 路 中 出 现 故 障 
链 路 时 ， 系 统 会 从 备用 链 路 中 选择 优先 级 最 高 的 
链 路 替代 故障 链 路 ; 如 果 被 替代 的 故障 链 路 恢复 
了 正常 ， 而 且 该 链 路 的 优先 级 又 高 于 替代 自己 的 
链 路 时 ， 高 优先 级 链 路 会 抢占 低 优 先 级 链 路 ， 切 
回 到 活动 状态 。 如 果 不 使 能 优先 级 抢占 功能 ， 系 
统 不 会 重新 选择 活动 接口 ， 故 障 恢复 后 的 链 路 将 
作为 备用 链 路 

缺 省 情况 下 ， 优 先 级 抢占 处 于 禁止 状态 ， 可 用 undo 
lacp preempt enable 命令 禁止 LACP 模式 下 的 LACP 
优先 级 抢占 功能 

配置 当前 Eth-Trunk 接口 的 LACP 抢占 延 时 ， 取 值 范 
围 为 10 一 180 的 整数 秒 

缺 省 情况 下 ,LACP 抢占 等 待 时 间 为 30s, 可 用 undo 
lacp preempt delay 命令 恢复 抢占 等 待 时 间 为 缺 
省 值 








(可 选 ) 配 
置 接收 


LACP 
报 文 超时 
时 间 





lacp timeout { fast | 
slow } 

例如 : [HUAWEI-Eth- 
Trunk10]lacp timeout 
fast 


配置 LACP 模式 下 成 员 接口 接收 LACP 协议 报 文 的 超 
时 时 间 ， 如 果 在 指定 周期 内 没有 收 到 对 端 发 回 的 
LACP 协议 确认 报 文 ， 则 会 重 发 原来 的 LACP 协议 报 
文 。 命 令 中 的 选项 说 明 如 下 。 

。 fast: 二 选 一 选项 ， 指 定 接收 报 文 的 超时 时 间 为 3s 
eslow: 二 选 一 选项 , 指定 接收 报 文 的 超时 时 间 为 90s 
配置 此 命令 后 ， 本 端 将 接收 报 文 的 超时 时 间 通 过 
LACP 报 文通 知 对 端 。 如 本 端 配置 为 fast 接收 报 文 超 
时 时 间 , 则 对 端 在 接收 到 报 文 后 会 更 改 为 fast 的 发 送 
周期 1s。 两 端 配置 的 超时 时 间 可 以 不 一 致 , 但 为 了 便 
于 维护 , 建议 用 户 配置 一 致 的 LACP 协议 报 文 超时 时 
间 

缺 省 情况 下 ， 接 收报 文 的 超时 时 间 为 90s， 可 用 undo 
lacp timeout 命令 恢复 LACP 模式 下 接口 接收 LACP 
协议 报 文 的 超时 时 间 为 缺 省 值 





可 以 使 用 display eth-trunk [ trunk-id [ interface interface-type interface-number |verbose ] ] 命令 查看 Eth- 

















Trunk 接 口 的 配置 信息 ; 使/ 








jdisplay trunkmembership eth-trunk trunk-id 命 令 查看 指定 编号 Eth-Trunk 接 口 的 成 





员 接口 信息 。 





4.5.7 LACP 模 式 的 链 路 聚合 配置 示例 




















本 示例 拓扑 结构 如 图 4-8 所 示 ， 在 两 台 Switch 设 备 上 配置 LACP 模 式 链 路 聚合 组 
具有 负载 分 担 的 能 力 ， 两 设备 间 的 链 路 具有 1 条 克 余 备份 链 路 ， 当 活动 链 路 出 























链 路 ， 保 持 数 扩 


传输 的 可 靠 性 。 





























SwitchA 


GEO/0/1 
GE0/0/2 
GEOQ/0/3 







Eth-Trunk 1 






GEO0/0/1 








Eth-Trunk 1 


， 而 且 要 求 两 条 活动 链 路 
项 履 障 时 ， 各 众 链 路 痊 代 故 了 
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图 4-8 LACP 模 式 链 路 聚合 配置 示例 拓扑 结构 


























1. 配置 思路 分 析 





因为 本 示例 要 求 具有 链 路 备份 功能 ， 所 以 只 能 采用 LACP 模 式 的 链 路 聚合 方式 。 根 据 4.5.6 节 介绍 的 九 项 



































配置 任务 ， 再 结合 本 示例 的 具体 要 求 可 以 得 出 如 下 基本 配置 思路 。 
(1) 创建 Eth-Trunk， 配 置 Eth-Trunk 为 LACP 模 式 ， 实 现 链 路 聚合 功能 。 
(2) 将 3 个 成 员 接口 GEO/O01 一 0/0/3 加 入 Eth-Trunk 接 口中 。 
(3) 根据 两 台 设 备 的 主 次 程度 配置 两 台 
设备 的 接口 选择 活动 接口 。 
































设备 的 系统 LACP 优 先 级 ， 确 定 主动 端 ， 这 样 就 会 按照 主动 端 

















(4) 配置 活动 接口 上 限 阔 值 
(5) 配置 两 端 设 备 ! 





(本 示例 为 2) ， 实 现 保证 






























































2; 渴 
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体 配 置 步 又 

















同样 因为 本 示例 中 的 配置 是 对 称 的 ， 所 以 在 此 仅 以 SwitchA 上 的 配置 为 例 进行 介 纤 




















(1) 在 SwitchA 上 创建 Eth-Trunk1 并 配置 为 LACP 模 式 。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] interface eth-trunk1 
[SwitchA-Eth-Trunk1] mode lacp 
[SwitchA-Eth-Trunk1] guit 

(2) 配置 SwitchA 上 的 GE0/0/1~0/0/3 三 个 成 员 接 口 加 入 Eth-Trunk1 接 口中 。 
[SwitchA] interfacegigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] eth-trunk 1 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] eth-trunk 1 
[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interface gigabitethernet 0/0/3 








带宽 的 情况 下 提高 网 络 的 可 靠 性 。 
成 员 接 口 的 LACP 优 先 级 ， 确 定 活动 链 路 接口 ， 优 先 级 高 的 接 口 








将 被 选 作 活动 接 


召 。 


[SwitchA-GigabitEthernet0/0/3] eth-trunk 1 
[SwitchA-GigabitEthernet0/0/3] quit 
(3) 在 SwitchA 上 配置 系统 优先 级 为 100， 使 其 成 为 LACP 主 动 端 。 此 时 在 SwitchB 上 的 优先 级 值 要 大 于 
100〔 值 越 大 ， 优 先 级 越 低 ) ， 才 确保 SwitchA 成 为 主动 端 。SwitchB 端 可 不 用 配置 ， 因 为 系统 LACP 优先 
级 为 32768， 优 先 级 远 小 于 SwitchA 上 配置 的 100。 
[SwitchA] lacp priority 100 
(4) 在 SwitchA 上 配置 活动 接口 上 限 阔 值 为 2 
[SwitchA] interface eth-trunk 1 
















































































































































































[SwitchA-Eth-Trunk1l1] max active-linknumber2 
[SwitchA-Eth-Trunk1] quit 
(5) 在 SwitchA 上 配置 接口 优先 级 确定 活动 链 路 。 此 时 在 对 端 SwitchB 上 这 两 条 链 路 的 对 应 端口 也 要 配 

置 高 优先 级 ， 以 确保 这 两 条 链 路 为 活动 链 路 。 

[SwitchA] interfacegigabitethernet 0/0/1 

[SwitchA-GigabitEthernet0/0/1] lacp priority 100 

[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 

[SwitchA-GigabitEthernet0/0/2] lacp priority 100 

[SwitchA-GigabitEthernet0/0/2] quit 
其 他 的 可 选 配置 在 此 可 不 用 配置 。 配 置 完成 后 可 通过 display eth-trunk 1 命令 查看 各 设备 的 Eth-Trunk 信 
息 ， 查 看 链 路 是 否 协 商 成 功 。 如 下 所 示 。 要 注意 的 是 ， 在 LACP 模 式 中 在 一 端 设备 上 执行 本 命令 后 可 同时 
查看 本 端 和 对 端的 成 员 接口 配置 信息 。 

[SwitchA] display eth-trunk1 


Eth-Trunk1's state information is: 





















































































































































Local: 

LAG ID:1 WorkingMode:LACP 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 

System Priority: 100 ”System ID: 00e0-fca8-0417 

Least Active-linknumber: 1 Max Active-linknumber: 2 

Operate status: up “Number Of Up Port In Trunk: 2 

ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
GigabitEthernet0/0/1 Selected 1GE 100 6145 2865 11111100 1 
GigabitEthernet0/0/2 Selected 1GE 100 6146 2865 11111100 1 
GigabitEthernet0/0/3 Unselect 1GE 32768 6147 2865 11100000 1 
Partner: 

ActorPortName SysPri SystemID PortPri PortNo PortKey PortState 
GigabitEthernet0/0/1 32768 00e0-fca6-7f85 32768 6145 2609 11111100 
GigabitEthernet0/0/2 32768 00e0-fca6-7f85 32768 6146 2609 11111100 
GigabitEthernet0/0/3 32768 O00e0-fca6-7f85 32768 6147 2609 11110000 


[SwitchB] display eth-trunk 1 

Eth-Irunkl's state information is: 

Local: 

LAG ID:1 WorkingMode:LACP 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 

System Priority: 32768 System ID: 00e0-fca6-7f85 

Least Active-linknumber: 1 Max Active-linknumber: 8 

Operate status: up Number Of Up Port In Trunk: 2 

ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
GigabitEthernet0/0/1 Selected 1GE 32768 6145 2609 111111001 
GigabitEthernet0/0/2 Selected 1GE 32768 6146 2609 11111100 1 
GigabitEthernet0/0/3 Unselect 1GE 32768 6147 2609 111000001 
Partner: 

ActorPortName SysPri SystemID PortPri PortNo PortKey PortState 
GigabitEthernet0/0/1 100 00e0-fca8-0417 100 6145 2865 11111100 
GigabitEthernet0/0/2 100 O00e0-fca8-0417 100 6146 2865 11111100 
GigabitEthernet0/0/3 100 O00e0-fca8-0417 32768 6147 2865 11110000 
通过 以 上 显示 信息 可 以 看 到 ，SwitchA 的 系统 优先 级 为 100， 高 于 SwitchB 的 系统 优先 级 〈 为 缺 省 的 


























32768) 。Eth-Trunk 的 成 员 接口 中 GigabitEthernet0/0/1、GigabitEthernet0/0/2 成 为 活动 接口 ， 处 
于 “Selected” 状 态 ， 接 口 GigabitEthernet0/0/3 处 于 “Unselect” 状 态 ， 同 时 实现 M 条 链 路 的 负载 分 担 和 N 条 链 路 的 
见 余 备份 功能 。 

















4.6 Eth-Trunk 接 口 本 地 流量 优先 转发 























在 设备 堆 登 或 者 CSS (Cluster Switch System， 集 群 交 换 机 系统 ) 情况 下 (有 关 交 换 机 堆 共 和 集群 将 在 
































下 章 介 绍 ) ， 为 了 保证 流量 的 可 靠 传 输 ， 流 量 的 出 接口 通常 设置 为 Eth-Trunk 接 口 。 那 么 Eth-Trunk 接 口中 可 


能 存在 跨 成 员 交 换 机 的 成 员 接口 。 当 堆 释 设备 转发 流量 
交换 机 的 成 员 接 口 ， 由 此 增加 了 路 设 备 之 间 的 带宽 承载 压力 ， 也 降低 了 流量 转发 效率 。 
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才 ，Eth-Trunk 接口 通过 HASH 算法 可 能 会 选择 跨 成 



































为 了 解决 上 述 问 题 ， 可 通过 本 命令 使 能 Eth-Trunk 接口 本 地 流量 优先 转发 功能 ， 即 从 本 地 进入 的 流量 优 




















E 通 过 本 地 交换 机 的 成 员 接 口 转发 。 如 果 本 地 交换 机 上 没有 Eth-Trunk 的 成 员 接口 ， 再 从 跨 成 员 交 换 机 的 成 




















员 接 口 转发 。 这 样 可 以 有 效 地 节省 设备 间 通 信 带 宽 ， 提 高 流量 转发 效率 。 


4.6.1 使 能 Eth-Trunk 接 口 本 地 ; 

































































要 使 在 CSS 设 备 中 从 本 地 交换 机 进入 的 流量 优先 通过 本 地 的 成 员 接 口 转发 ， 就 必须 使 能 跨 设备 Eth- 




















Trunk 接口 上 的 本 地 流量 优先 转发 功能 。 这 样 也 可 以 减少 集群 设备 之 间 的 带宽 承载 压力 ， 提 高 流量 转发 效 


























使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 后 ， 当 Eth-Trunk 接 口 本 地 交换 机 上 有 出 接口 且 出 无 故障 时 ， 


















































本 地 的 Eth-Trunk 转发 表 中 将 只 包含 本 地 交换 机 的 出 接口 。 这 样 在 通过 HASH 算 法 选择 出 接口 时 只 能 选中 本 



































地 交换 机 上 的 接口 ， 流 量 从 本 地 交换 机 转发 出 去 。 而 当 Eth-Trunk 接 口 本 地 交换 机 上 无 出 接口 或 者 全 部 故障 














时 ， 本 地 交换 机 的 Eth-Trunk 转 发 表 中 将 包含 Eth-Trunk 接 口中 所 有 可 转发 的 出 接口 。 这 检 














选择 出 接口 时 将 选中 其 他 成 员 交 换 机 上 的 出 接口 ， 流 量 将 通过 跨 设 备 转发 。 























当然 ， 实 际 情 况 下 不 是 必须 启用 这 项 功能 ， 要 根据 实际 情况 配置 使 能 或 去 使 能 
(1) 如 果 本 设备 Eth-Trunk 的 活动 接口 的 带宽 足以 承载 本 设备 转发 的 流量 ， 可 以 使 能 Eth-Trunk 接 




















本 地 流量 优先 转发 功能 ， 避 免 转发 效率 低 、 集 群 设备 之 间 的 带宽 承载 压力 大 的 问题 。 
(2) 如 果 本 设备 Eth-Trunk 的 活动 接口 的 带宽 不 能 承载 本 设备 转发 的 流量 ， 

































































包 。 




















口 本 地 流量 优先 转发 功能 ， 此 时 本 设备 的 部 分 流量 就 会 选择 跨 设备 的 Eth-Trunkt 





H 接 








在 通过 HASH 算 法 


该 功能 














需要 去 使 能 Eth-Trunk 接 

















在 配置 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 之 前 ， 需 要 确保 Eth-Trunk 接 口 已 经 创建 ， 


转发 ， 防 止 发 生 丢 

















并 已 经 加 入 物理 











接口 ， 当 然 还 必须 已 经 搭建 好 设备 集群 环境 ， 同 时 要 确保 本 设备 Eth-Trunk 出 接口 的 带宽 足以 承载 本 设备 转 

















发 的 流量 ， 防 止 发 生 丢 包 。 






































local-preference enable 命 令 去 使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 



























































4.6.2 Eth-Trunk 接 口 本 地 流量 优先 转发 配置 示例 











本 示例 拓扑 结构 如 图 4-9 所 示 ， 为 了 增加 设备 的 容量 采用 设备 堆 登 技术 ， 将 Switch3 和 Switch4 通 过 专用 























的 堆 车 电缆 连接 起 来 ， 对 外 呈现 为 一 台 逻 辑 交 换 机 。 











配置 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 的 方法 很 简单 ， 只 需 在 对 应 的 Eth-Trunk 接 
local-preference enable 命 令 即 可 。 缺 省 情况 下 ， 已 经 使 能 了 Eth-Trunk 接 口 本 地 流量 


_ 下 1. 
旦 











但 要 注意 的 是 ， 本 地 流量 优先 转发 功能 只 对 已 知 单 播 有 效 ， 不 对 未 知 单 播 生效 。 











视图 下 执行 

















优先 转发 功能 ， 可 用 undo 























为 了 实现 设备 间 的 备份 、 提 高 可 靠 性 ， 采 用 跨 堆 合 设备 Eth-Trunk 接口 技术 ， 将 不 同 设备 上 的 物理 接口 














加 入 同一 个 Eth-Trunk 接 口 。 在 网 络 无 任何 故障 情况 下 ， 在 PE 设备 上 查看 成 员 








流量 会 同时 通过 GE1/0/1 和 GE1/0/2 成 员 接 口 转 发 (最 好 是 仅 从 GE1/0/1 接 口 转发 ) 











同时 通过 GE1/0/1 和 GE1/0/2 成 员 接 口 转发 (最 好 是 仅 从 GE1/0/2 接 口 转发 ) 。 增 加 了 堆 赫 





口 信息 时 ， 





，VLAN3 的 数据 流量 也 








载 能 力 《〈 因 为 如 果 从 对 端 设备 接收 的 本 端 VLAN 数据 时 ， 需 要 在 堆 苔 设备 之 间 进 行 传输 ) ， 也 降低 了 流量 





转发 效率 。 























为 了 有 效 保证 VLAN2 的 数据 流量 通过 成 员 口 GELO/1 转 发 ，VLAN3 的 数 和 
发 ， 可 在 堆 赦 设备 上 使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 












































Vi 


设备 之 间 的 带宽 承 





量 通 过 成 员 口 GE1/0/2 转 
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图 4-9 Eth-Trunk 接 口 本 地 流量 优先 转发 配置 示例 拓扑 结构 

















1. 配置 思路 分 析 
本 示例 虽然 目的 是 要 启用 堆 炙 设备 中 Eth-Trunk 接口 的 本 地 流量 优先 转发 功能 ， 但 因为 涉及 Eth-Trunk 链 
路 聚合 ， 所 以 必须 配置 它 。 同 时 本 示例 又 涉及 S 系 列 交 换 机 的 堆 车 功能 配置 ， 所 以 本 示例 中 又 将 介绍 交换 机 
堆 辣 的 基本 配置 ， 但 不 作 上 有 具体 介绍 ， 有 关 交 换 机 堆 著 的 具体 配置 方法 参见 下 章 相关 内 容 。 本 示例 的 基本 配 
置 思路 如 下 。 
(1) 在 堆 合 交换 机 和 PE 交换 机 上 分 别 创建 Eth-Trunk 接 口 ( 采 
Eth-Trunk 的 成 员 接 口 。 
(2) 配置 交换 机 堆 琶 和 Switch1 和 Switch2 上 的 其 他 接口 加 入 相应 VLAN， 实 现 二 层 互通 。 有 关 VLAN 的 
有 具体 配置 方法 参见 本 书 第 6 章 。 
(3) 使 能 Eth-Trunk 接 口 本 地 流量 优先 转发 功能 。 
2. 有 具体 配置 步骤 


一 


(1) 在 交换 机 堆 释 和 PE 交换 机 上 分 别 创 建 Eth-Trunk 接 口 ， 并 配置 为 Trunk 端 口 
VLAN。 
交换 机 堆 敌 上 的 Eth-Trunk 接 口 配 置 : 
<HUAWEI> system-view 
[HUAWEI] sysname Stack 


[Stack] interface eth-trunk10 
[Stack-Eth-Trunk10] port link-type trunk #-- 设 置 Eth-Trunk 接 口 为 Trunk 类 型 



























































































































































j 缺 省 的 手工 负载 分 担 方式 ) ， 并 加 入 
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类 型 ， 允 许 通 过 所 有 
























































[Stack-Eth-Trunk10] port trunk allow-pass vlan all #-- 设 置 Eth-Trunk 接 口 允 许 所 有 VLAN 报 文 








[Stack-Eth-Trunk10] quit 
PE 上 的 Eth-Trunk 接 口 配置 : 
<HUAWEI> system-view 
[HUAWEI] sysnamePE 
[PE] interface eth-trunk 10 
[PE-Eth-Trunk10] port link-type trunk 
[PE-Eth-Trunk10] port trunk allow-pass vlan all 
[PE-Eth-Trunk10] quit 
(2) 把 交换 机 堆 车 和 PE 交换 机 上 的 对 应 成 员 接 口 加 入 到 它们 的 Eth-Trunk 接 口 























交换 机 堆 营 上 的 配置 : 
[Stack] interfacegigabitethernet 1/0/4 
[Stack-GigabitEthernet1/0/4] eth-trunk 10 
[Stack-GigabitEthernet1/0/4] quit 

[Stack] interface gigabitethernet 2/0/4 
[Stack-GigabitEthernet2/0/4] eth-trunk10 
[Stack-GigabitEthernet2/0/4] quit 

PE 交换 机 上 的 配置 : 

[PE] interfacegigabitethernet 1/0/1 
[PE-GigabitEthernet1/0/1] eth-trunk 10 
[PE-GigabitEthernet1/0/1] quit 

[PE] interface gigabitethernet 1/0/2 
[PE-GigabitEthernet1/0/2] eth-trunk10 
[PE-GigabitEthernet1/0/2] guit 















































(3) 配置 交换 机 堆 苹 、Switchl 和 Switch2 上 各 接口 的 Trunk 类 型 及 所 人 允许 通过 的 VLAN。 















































交换 机 堆 疼 上 的 配置 : 
[Stack] vlan batch 2 3 
[Stack] interfacegigabitethernet 1/0/3 























[Stack-GigabitEthernet1/0/3] port link-type trunk 
[Stack-GigabitEthernet1/0/3] port trunk allow-pass vlan 2 
[Stack-GigabitEthernet1/0/3] quit 

[Stack] interface gigabitethernet 2/0/3 
[Stack-GigabitEthernet2/0/3] port link-type trunk 
[Stack-GigabitEthernet2/0/3] port trunk allow-pass vlan 3 
[Stack-GigabitEthernet2/0/3] quit 

Switchl1 上 的 配置 : 
<HUAWEI> system-view 
[HUAWEI] sysname Switch1 
[Switch1] vlan 2 
[Switch1-vlan2] quit 























也 








\ 也 


通 

















[Switch1] interfacegigabitethernet0/0/1 
[Switch1-GigabitEthernetO/O/1] port link-type trunk 
[Switch1-GigabitEthernetO/O/1] port trunk allow-pass vlan 2 
[Switch1l-GigabitEthernet0/0/1] quit 

[Switch1] interface gigabitethernet 0/0/2 
[Switch1-GigabitEthernet0/0/2] port link-type trunk 
[Switch1-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 
[Switch1l-GigabitEthernet0/0/2] quit 

Switch2 上 的 配置 : 
<HUAWEI> system-view 
[HUAWEI] sysname Switch2 
[Switch2] vlan 3 
[Switch2-vlan3] quit 























[Switch2] interface gigabitethernet0/0/1 
[Switch2-GigabitEthernet0/0/1] port link-type trunk 
[Switch2-GigabitEthernet0/0/1] port trunk allow-pass vlan 3 
[Switch2-GigabitEthernet0/0/1] quit 
[Switch2] interfacegigabitethernet 0/0/2 
[Switch2-GigabitEthernet0/0/2] port link-type trunk 
[Switch2-GigabitEthernet0/0/2] port trunk allow-pass vlan 3 
[Switch2-GigabitEthernet0/0/2] quit 

(4) 在 交换 机 堆 琶 上 使 能 Eth-Trunk10 接 口 的 本 地 流量 优先 转发 功能 。 
[Stack] interface eth-trunk10 











[Stack-Eth-Trunk10] local-preference enable 

[Stack-Eth-Trunk10] quit 

因为 缺 省 情况 下 ， 本 地 流量 优先 转发 功能 处 于 使 能 状态 ， 如 果 以 前 没有 关闭 该 项 功能 ， 此 时 执行 local- 
preference enable 命 令 将 会 提示 “Error: The local preferential forwarding mode has been configured.”。 不 管 这 个 
提示 信息 。 

上 述 配 置 成 功 后 ， 在 交换 机 堆 营 和 PE 交换 机 任意 视图 下 执行 display trunkmembership eth-trunk 命 令 可 以 
看 到 Eth-Trunk 接 口 的 成 员 口 信息 。 如 下 所 示 的 是 在 交换 机 堆 车 上 执行 本 命令 后 的 输出 信息 。 

<Stack>display trunkmembership eth-trunk10 

Trunk ID: 10 

Used status: VALID 

TYPE: ethernet 

Working Mode : Normal 

Number Of Ports in Trunk = 2 

Number Of Up Ports in Trunk = 2 


Operate status: up 














































































































Interface GigabitEthernet1/0/4, valid, operate up, weight=1 
Interface GigabitEthernet2/0/4, valid, operate up, weight=1 


4.7 E-Trunk 


E-Trunk 是 一 种 实现 路 设备 链 路 
展 ， 能 够 实现 多 台 设 备 间 的 链 路 








x 
聚合 


聚合 。 














的 控制 协议 ， 基 于 LACP ( 章 
从 而 把 链 路 可 靠 性 从 单 板 级 

















S5700LI 和 S5700S-LI 系 列 外 ， 其 他 文 持 VRP 系 统 的 华为 $ 系 列 交 换 机 均 文 持 。 

















有 关 E-Trunk 方 面 基础 知识 介绍 参见 本 章 4.5.1 节 。 














在 配置 E-Trunk 之 六 





1， 需 要 完成 以 下 任务 : 





(1) 正确 连接 设备 之 间 


(2) 配置 静态 LACP 模 式 Eth-Trunk 接 口 。 

















4.7.1E-Trunk 配 置 任务 
E-Trunk 的 配置 任务 如 下 






































的 物理 链 路 。 
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1. 配置 E-Trunk 的 LACP 系 统 ID 和 优先 级 














2. 创建 E-Trunk 并 

















保持 一 致 。 





E-Trunk 的 优先 级 上 
3. 配置 本 端 和 对 端 


] 于 在 















































E-Trunk 协 议 报 文采 


修改 ， 否 则 会 导 














4. 配置 F-Trunk 与 BFD 会 话 绑 定 
通过 报 文 接收 超时 无 法 快速 感知 对 端 是 否 故障 ， 可 以 使 用 快速 检测 协议 BFD 快 速 感知 。 每 个 E-Trunk 都 





需要 指定 对 端的 卫 ， 通 过 创建 检测 对 端 路 


速 处 理 。 





























5. 将 Eth-Trunk 加 入 E-Trunk 








当 E-Trunk 配 置 成 功 ， 必 
而 实现 跨 设 备 的 链 路 
6. 
































模式 和 强制 备 上 
Eth-Trunk 接口 为 备用 状态 ; 














聚合 组 元 余 ， 提 高 网 络 可 靠 性 。 
(可 选 ) 配置 Eth-Trunk 在 E-Trunk 中 的 工作 模式 
只 能 对 已 经 加 入 E-Trunk 的 Eth-Trunk 接 








须 





向 E-Trunk 中 加 入 成 员 Eth-Trunk， 





ya 





























模式 。 强 制 主 用 模式 就 是 强制 对 应 Eth-Trunk 接 
自动 模式 就 是 根据 协商 ， 自 动 选择 工作 模式 。 











当 设 置 工作 模式 为 自动 模式 或 者 工作 模式 


























和 对 端 Eth-Trunk 的 故障 信息 决定 本 端 成 员 Eth-Trunk 的 状态 。 








若 本 端 E-Trunk 状态 为 主 
端 成 员 Eth-Trunk 为 故障 ， 则 本 端 Eth-Trunk 的 工作 模式 为 主 用 。 











配置 工作 模式 ，Eth-Trunk 的 了 


在 E-Trunk 中 ， 为 了 使 CE 设备 认为 对 端的 两 台 PE 设 备 是 一 台 设 备 ，E-Trunk' 
LACP 优 先 级 、 系 统 ID 都 需要 
配置 优先 级 

聚合 组 中 决策 两 台 设 备 的 主 备 状态 。 
的 IP 地 址 
本 端 配置 的 源 IP 地 址 及 协议 端口 号 发 送 。 但 如 果 要 修改 地 址 则 两 台 设 备 需 要 同时 
致 协议 报 文 丢弃 。 























得 





才能 实 








口 为 主 用 状态 ; 








f 台 设备 链 路 聚合 


提高 到 了 设备 级 。 本 功能 除 S2700、 


的 标准 ) 进行 了 扩 











主 、 备 两 台 PE 设 备 的 





[ 作 模 式 分 为 











j， 则 本 端 Eth-Trunk 的 工作 模式 为 主 ) 















































后 ， 该 对 端 Eth-Trunk 进 入 备用 





。 
状态 。 














7. ( 选 ) 配置 密码 








当 本 端 收 到 允 





为 了 提高 系统 的 安全 性 可 配置 加 密 密 码 ， 对 通过 E-Trunk 的 报 文 进行 加 密 ， 
Trunk 接 口上 只 有 收 到 密码 一 致 的 报 文才 可 接收 。E-Trunk 中 的 两 端 设备 上 的 加 密 密 码 必须 配置 为 一 致 。 




















用 户 可 以 选择 采 | 








明文 加 密 或 密 文 加 密 。 使 ) 























| 明文 加 密 时 ， 在 配置 文件 中 采用 明文 形式 显示 ; 











是 否 可 达 的 BFD 会 话 ，E-Trunk 可 感知 到 BFD 通 告 的 故障 ， 并 快 








现 两 台 设 备 上 的 链 路 聚合 协议 。 从 








自动 模式 、 强 制 主 用 
强制 备用 模式 就 是 强制 对 应 


一 胃 























强制 模式 切换 为 自动 模式 后 ， 根 据 本 端 E-Trunk 的 主 备 状态 


jo 若 本 端 E-Trunk 状态 为 备用 » 则 对 
端 Eth-Trunk 故 障 恢 复 消息 





以 确保 在 E-Trunk 通 信 中 Eth- 

































































文 加 密 时 ， 在 配置 文件 中 采用 加 密 后 的 乱码 显示 ， 不 显示 真正 的 密码 ， 更 加 安全 。 
8. (可 选 ) 配置 超时 时 间 
如 果 处 于 备用 状态 的 E-Trunk 在 超时 时 间 内 没有 收 到 对 端 发 送 的 Hello 报 文 ， 则 在 定时 器 超时 后 进入 主 
状态。 此 处 的 超时 时 间 是 对 端 报 文中 所 携带 的 超时 时 间 ， 而 不 是 本 端 设置 的 超时 时 间 。 
9. (可 选 ) 配置 延 时 回 切 时 间 
当 E-Trunk 的 本 端 设 备 处 于 主 用 状态 时 ， 由 于 其 中 某 个 成 员 Eth-Trunk 的 物理 状态 变 为 Down， 经 过 LACP 
商 后 对 端的 成 员 Eth-Trunk 的 物理 状态 变 为 Up。 此 时 ， 对 端 设备 变 为 主 用 状态 ， 本 端 设备 变 为 备用 状态 。 
当 本 端 故 障 消除 ， 经 过 LACP 协 商 ， 本 端 恢复 为 主 用 状态 。 
当 E-Trunk 与 其 他 业务 配合 使 用 时 ， 如 果 E-Trunk 状 态 为 主 用 的 设备 发 生 故障 恢复 后 ， 成 员 Eth-Trunk 状 
态 恢复 早 于 其 他 相关 业务 恢复 。 如 果 马 上 将 E-Trunk 成 员 的 流量 回 切 ， 会 导致 业务 流量 中 断 。 配 置 E-Trunk 
的 延 时 回 切 时 间 后 ， 必 须 等 待 延 时 回 切 定时 器 超时 ， 本 端 成 员 Eth-Trunk 状 态 才 能 Up，E-Trunk 的 本 端 设 备 才 
能 恢复 为 主 用 状态 。 从 而 延迟 了 E-Trunk 成 员 的 流量 回 切 时 间 ， 保 证 业务 流量 不 会 中 断 。 
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47.2E-Trunk 配 置 与 管理 


















































上 市 介 绍 的 E-Trunk 九 项 主要 配置 任务 的 具体 配置 步骤 如 表 4-19 所 示 。 




















表 4-19 E-Trunk 的 配置 与 管理 步 又 





命令 


System-view 
例如 : <HUAWEI> 
system-view 


lacp e-trunk system- 
id mac-address 

例如 : [HUAWEI 
lacp e-trunk system- 
id 00E0-FC00-0000 


进入 系统 视图 


配置 E-Trunk 的 LACP 系统 ID， 格 式 为 H-H-H， 其 
中 H 为 4 位 的 十 六 进 制 数 ， 可 以 输入 1 一 4 位 ， 如 
00e0、fec01。 当 输入 不 是 4 位 时 ， 表示 前 面 的 几 位 为 
0， 如 输入 e0， 等 同 于 00e0。 系 统 ID 不 能 为 全 0 或 
全 下 。 

【注意 】E-Trunk 中 主 备 两 台 设 备 的 LACP 系统 ID 需 
要 保持 一 致 。 当 设备 上 配置 多 个 E-Trunk 时 ， 不 同 肾 
合 组 的 LACP 系统 ID 可 以 不 同 ， 但 此 时 需要 在 
Eth-Trunk 接口 视图 下 配置 LACP 系统 ID。 在 系统 视 
图 下 配置 的 LACP 系统 ID 对 所 有 Eth-Trunk 接口 有 
效 ; 在 Eth-Trunk 接口 视图 下 配置 的 LACP 系统 ID 仅 
对 该 Eth-Trunk 接口 有 效 。 对 于 指定 的 Eth-Trunk 接口 ， 
如 果 已 经 在 系统 视图 下 执行 了 本 命令 ， 又 在 指定 的 
Eth-Trunk 接口 视图 下 执行 本 命令 、 则 以 Eth-Trunk 接 
口 视图 下 配置 的 值 为 准 

缺 省 情况 下 ， 使 用 主 控 板 的 以 太 口 MAC 地 址 作为 
E-Trunk 的 LACP 系统 ID, 在 Eth-Trunk 接口 视图 下 的 
缺 省 值 为 系统 视图 下 的 当前 值 , 可 用 undo lacp e-trunk 
system-id 命令 删除 E-Trunk 的 LACP 系统 ID 





lacp e-trunk priority 
priority 

例如 : [HUAWED] 
lacp e-trunk priority 
10 


e-trunk e-trunk-id 
例如 : [HUAWEH 
e-trunk 2 


配置 E-Trunk 的 LACP 优先 级 ， 取 值 范围 为 0 一 65 535 
的 整数 , 值 越 小 LACP 优先 级 越 高 。 如 果 配 置 了 LACP 
优先 级 ，E-Trunk 中 的 成 员 Eth-Trunk 端口 发 送 LACP 
报 文 时 ， 采 用 配置 的 优先 级 。 杏 则 ， 使 用 E-Trunk 的 
LACP 优先 级 缺 省 值 为 32768 

【注意 】E-Trunk 中 主 备 两 台 设 备 的 LACP 优先 级 需要 
保持 一 致 。 当 设备 上 瑟 置 多 个 E-Trunk 时 , 不 同 聚 合 组 
的 LACP 优先 级 可 以 不 同 ， 此 时 需要 在 Eth-Trunk 接口 
视图 下 配置 LACP 优先 级 。 在 系统 视图 下 配置 的 LACP 
优先 级 对 所 有 Eth-Trunk 接口 有 效 ; 在 Eth-Trunk 接口 
视图 下 配置 的 LACP 优先 级 仅 对 该 Eth-Trunk 接口 有 
效 。 对 于 指定 的 Eth-Trunk 接口 ， 如果 已 经 在 系统 视 
图 下 执行 了 本 命令 ， 又 在 指定 的 Eth-Trunk 接口 视图 
下 执行 本 命令 ， 则 以 Eth-Trunk 接口 视图 下 配置 的 值 
为 准 

缺 省 情况 下 ，E-Trunk 的 LACP 优先 级 是 32768， 可 用 
undo lacp e-trunk priority 命令 删除 E-Trunk 的 LACP 
优先 级 

创建 E-Trunk， 指 定 E-Trunk 编号 ， 取 值 范围 为 1 一 16 
的 整数 。 当 E-Trunk 存在 时 ， 执 行 本 命令 直接 进入 
E-Trunk 视图 

在 一 个 E-Trunk 内 ， 两 端 设 备 上 配置 的 E-Trunk 编号 
必须 相同 。 缺 省 情况 下 ， 没 有 创建 任何 E-Trunk， 可 用 
undo e-trunk e-trunk-id 命令 删除 指定 的 E-Trunk 





创建 
E-Trunk 
并 配置 
优先 级 


配置 本 端 
和 对 端的 
IP 地 址 


priority prioriry 
例如 : [HUAWEI-e- 
trunk-2]priority 10 


peer-address peer-ip- 
address source-address 
source-ip-address 
例如 : [HUAWEI-e- 
trunk-2] peer-address 
2.2.2.2 
source-address 1.1.1.1 
e-trunk track bfd- 
session Session-name 
bfd-session-name 
例如 : [HUAWEI-e- 
trunk-2]e-trunk track 
bfd-session session- 
name e-trunk-bfd 
quit 

例如 : [HUAWEI-e- 
trunk-2] quit 


配置 E-Trunk 的 优先 级 ， 取 值 范围 为 1 一 254 的 整数 。 
优先 级 用 于 两 台 设 备 间 进行 主 备 协 商 ， 优 先 级 高 的 为 
主 用 设备 ， 值 越 小 优先 级 越 高 。 如 果 优 先 级 相同 ， 那 
么 比较 本 台 设备 的 系统 ID，ID 较 小 的 为 主 用 设备 。 如 
果 优 先 级 和 系统 ID 都 相同 ， 则 认为 配置 错误 ， 丢 弃 报 
文 ， 不 作 处 理 

缺 省 情况 下 ，E-Trunk 的 优先 级 为 100， 可 用 undo 
priority 命令 恢复 E-Trunk 的 优先 级 为 缺 省 的 100 


配置 对 端 和 本 端的 卫 地 址 。 命 令 中 的 参数 说 明 如 下 : 
(1) peer-ip-address: 指定 对 端 IP 地 址 

(2) source-ip-address: 指定 对 端 源 JP 地 址 

可 用 unde peer-address 命令 删除 E-Trunk 的 对 端 和 本 
端的 IP 地 址 


绑 定 BFD 会 话 , 参数 byd-session-name 用 来 指定 要 绑 定 
的 BFD 会 话 名 称 ， 为 1 一 15 个 字符 ， 支 持 空格 ， 不 区 
分 大 小 写 。BED 用 于 实现 E-Trunk 的 两 台 设备 之 间 控 
制 协议 链 路 的 快速 故障 检测 

缺 省 情况 下 ，E-Trunk 没有 绑 定 BFD 会 话 ， 可 用 undo 
e-trunk track bfd-session 命令 取消 绕 定 的 BFD 会 话 


退出 E-Trunk 视图 ， 返 回 系统 视图 





interface eth-trunk 
trunk-id 

例如 : [HUAWEI] 
interface eth-trunk 1 


e-trunk e-trunk-id 
[remote-eth-trunk 
eth-trunk-id ] 

例如 : [HUAWEI-eth- 
trunkl] e-trunk 2 


quit 

例如 : [HUAWEI- 
eth-trunk1l] quit 
er-trunk e-tmunk-id 
例如 ， [HUAWEI] 
e-trunk 2 





进入 要 加 入 到 E-Trunk 的 Eth-Trunk 接口 视图 。 但 仅 
LACP 模式 的 Eth-Trunk 才能 加 入 E-Trunk 


将 以 上 Eth-Trunk 加 入 到 指定 E-Trunk 中 。 参 数 说 明 
如 下 。 

(1) e-trunk-id: 指定 以 上 Eth-Trunk 接口 要 加 入 的 E-Trunk 
编号 ， 取 值 范围 为 1 一 16 的 整数 

(2) eth-trunk-id: 可 选 参数 ， 指 定 远 中 PE 设备 的 
Eth-Trunk 编号 ， 取 值 范围 为 0 一 4 294 967 295 的 整数 
【说 明 】 一 个 Eth-Trunk 只 能 加 入 一 个 E-Trunk。 一 个 
E-Trunk 中 ,两 端 设 备 上 所 加 入 的 Eth-Trunk ID 可 以 不 
一 致 ， 当 两 台 PE 设备 上 创建 的 Eth-Trunk ID 不 一 样 ， 
如 果 用 户 通过 本 命令 将 两 端 PE 设备 上 不 同 ID 的 LACP 
模式 的 Eth-Trunk 加 入 同一 个 E-Trunk 时 ， 必 须 选择 
remote-eth-trunk 参数 指定 远 端 Eth-Trunk ID， 能 保证 
E-Trunk 正常 工作 

可 用 undo e-trunk 命令 出 除 指 定 E-Trunk 中 的 Eth-Trunk 


退出 Eth-Trunk 接口 视图 


进入 前 面 创建 的 E-Trunk 视图 





(可 选 》 
配置 
Eth-Trunk 
在 ETmnk 
中 的 工作 
模式 


(可 选 》 
配置 密码 


(可 选 》 
配置 
超时 时 间 


e-trunk mode { auto | 
force-master | force- 
backup } 

例如 : [HUAWEI-e- 
trunk-2]e-trunk 
mode 

force-master 


security-key { simple 
simple-key | cipher 


cipher-key } 

例如 : [HUAWELe- 
trunk-2]security-key 
cipher 
00E0OFC000000 


timer hello hello-rimes 
例如 : [HUAWEI-e- 
trunk-2] timer hello 9 


配置 Eth-Trunk 在 E-Trunk 中 的 工作 模式 。 选 项 说 明 如 下 。 
(1) auto: 多 选 一 选项 ， 指 定 Eth-Trunk 的 工作 模式 为 
自动 模式 。 当 设置 工作 模式 为 自动 模式 或 者 工作 模式 
由 强制 模式 切换 为 自动 模式 后 , 根据 本 端 E-Trunk 的 主 
备 状 态 和 对 端 Eth-Trunk 的 故障 信息 决定 本 端 成 员 
Eth-Trunk 的 状态 
(2) force-master: 多 选 一 选项 ， 指 定 Eth-Trunk 的 工 
作 模 式 为 强制 主 用 状态 。 若 本 端 E-Trunk 状态 为 主 用 ， 
则 本 端 Eth-Trunk 的 工作 模式 为 主 用 ; 若 本 端 E-Trunk 
状态 为 备用 ， 对 端 成 员 Eth-Trunk 为 故障 ， 则 本 端 
Eth-Trunk 的 工作 模式 为 主 用 
(3) force-backup: 多 选 一 选项 ， 指 定 Eth-Trunk 的 工 
作 模式 为 强制 备用 状态 。 当 本 端 收 到 对 端 Eth-Trunk 故 
障 恢 复 消息 后 ， 该 Eth-Trunk 进入 备用 状态 
只 能 对 已 经 加 入 E-Trunk 的 Eth-Trunk 执行 本 命令 。 
当 Eth-Trunk 退出 E-Trunk 时 ， 该 配置 将 自动 清除 
缺 省 情况 下 ,Eth-Trunk 在 E-Trunk 中 工作 在 自动 模式 ， 
可 用 undo e-trunk mode 命令 恢复 Eth-Trunk 在 E-Trunk 
中 的 工作 模式 为 缺 省 的 自动 模式 
配置 加 密 报 文 的 密码 。 命 令 中 的 参数 说 明 如 下 。 
(1) simple-key: 二 选 一 参数 ， 指 定 以 明文 方式 加 富安 
全 密 钥 ， 为 1 一 255 整数 个 字符 ， 不 支持 空格 、 单 引号 
和 问号 ， 区 分 大 小 写 。 缺 省 值 是 00E0FC0000000000 
(2) cipher-key : 二 选 一 参数 ， 指 定 以 密 文 方式 加 密实 
全 窗 钥 ， 字 符 串 形式 ， 不 支持 空格 、 单 引号 和 问号 ， 
区 分 大 小 写 ， 此 时 输入 密码 有 两 种 方式 ， 一 种 是 明文 ， 
-种 是 窗 文 。 当 输入 明文 密码 时 ， 长 度 范围 为 1 一 255 
粹 数 个 字符 ， 当 输入 密 文 密码 时 ， 长 度 为 32 一 392 整 
数 个 字符 
缺 省 情况 下 ，simple 方式 密码 为 00E0FC0000000000， 
可 用 undo security-key 命令 恢复 沉 码 为 缺 省 值 
设置 主 备 交换 机 发 送 的 Hello 报 文 时 间 间 隔 , 备用 交换 
机 经 过 下 一 步 timer hold-on-failure multiplier 
multiplier 命令 中 参数 _multiplier 值 个 发 送 周期 没收 到 
Hello 报 文 则 会 进入 主 用 状态 , 取 值 范围 为 5 一 100 的 整 
数 ， 单 位 是 100ms 
缺 省 情况 下 ，Hello 报 文 发 送 周期 值 为 10， 单 位 为 
100ms， 即 18， 可 用 undo timer hello 命令 恢复 Hello 
报 文 发 送 周期 为 缺 省 值 








timer 
hold-on-failure 
multiplier multiplier 
例如 : [HUAWEI-e- 
trunk-2] timer hold-on- 
failure multiplier 2 


timer revert delay 


配置 检测 Hello 报 文 的 时 间 倍数 ， 取 值 范围 为 3 一 300 
的 整数 。 超 时 时 间 = 发 送 周 期 x 时 间 人 倍数。 建议 将 时 间 
倍数 设置 为 3 倍 以 上 

对 端 利用 接收 到 的 报 文中 携带 的 超时 时 间 来 检测 本 端 
是 否 超时 ， 如 果 对 端 处 于 备用 状态 ， 在 超时 时 间 内 没 
有 收 到 由 本 端 发 送 的 Hello 报 文 , 则 在 定时 器 超时 后 对 
端 设备 进入 主 用 状态 

缺 省 情况 下 ,检测 Hello 报 文 的 时 间 倍 数 为 20, 可 用 undo 
timer hold-on-failure multiplier 命令 恢复 为 缺 省 值 








配置 回 切 延 迟 时 间 ， 取 值 范 围 为 0 一 3 600 的 整数 秒 

当 E-Trunk 与 其 他 业务 配合 使 用 时 , 如 果 E-Trunk 状态 
为 主 用 的 设备 发 生 故 障 恢复 后 , 成员 Eth-Trunk 状态 恢 
复 早 于 其 他 相关 业务 恢复 。 执 行 本 命令 配置 E-Trunk 








(可 选 ) delay-value 的 延 时 回 切 时 间 后 ， 必 须 等 待 延 时 回 切 定时 器 超时 ， 
配置 延 时 例如 : [HUAWEI-e- “| 本 端 成 员 Eth-Trunk 状态 才能 Up，E-Trunk 的 本 端 设 备 
回 切 时 间 trunk-2] timer revert | 才能 恢复 为 主 用 状态 。 从 而 延迟 了 E-Trunk 成 员 的 流量 


delay 20 





回 切 时 间 ， 保 证 业务 流量 不 会 中 断 

缺 省 情况 下 ，E-Trunk 延 时 回 切 的 时 间 为 1208， 可 用 
undo timer revert delay 命令 恢复 E-Trunk 延 时 加 切 的 
时 间 为 缺 省 值 








可 用 display e-trunk e-trunk-id 命 令 查看 指定 编号 的 E-Trunk 的 配置 信息 。 


























4.8 Eth-Trunk 子 接口 配置 与 管理 























当 二 层 网 络 中 的 交换 设备 划分 到 不 同 的 VLAN 中 ， 为 了 保证 不 同 VLAN 间 的 用 户 正 常 通信， 需要 在 三 
层 设备 与 二 层 设备 相连 的 Eth-Trunk 接口 上 创建 子 接口 与 下 游 用 户 的 VLAN 分 别 对 应 ， 并 在 子 接口 上 配置 了 
地 址 。 

如 图 4-10 所 示 ，PE1 和 PE2 均 为 三 层 交 换 设 备 ， 它 们 分 别 与 对 端的 CE1 和 CE2 建 立 了 Eth-Trunk 连 接 ， 在 
PE1 和 PE2 端 的 Eth-Trunk 接 口上 划分 Eth-Trunk 子 接口 。 目 前 只 有 S5710EI、S5700HI、S7700、S9300 和 S9700 
系列 交换 机 支持 Eth-Trunk 子 接口 。 































































































VPLS/MPLS/IP 
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4-10 Eth-Trunk 子 接口 应 用 示例 




















在 Eth-Trunk 子 接口 上 封装 802.1Q 并 关联 VLAN 后 ，VLAN 可 以 通过 Eth-Trunk 子 接口 与 VLAN 外 的 设备 
通信 。Eth-Trunk 子 接口 与 本 章 前 面 介绍 的 以 太 网 子 接口 一 样 ， 也 应 用 于 Dotlg 终 结 、QinQ 终 结 等 场合 。 使 
用 二 层 Eth-Trunk 子 接口 后 ，Eth-Trunk 主 接 口上 运行 二 层 功 能 ，Eth-Trunk 子 接口 运行 三 层 功能 。 
Eth-Trunk 子 接口 的 配置 与 管理 方法 如 表 4-20 所 示 。 主 要 是 在 Eth-Trunk 接 口上 创建 子 接口 ， 在 子 接口 上 
配置 IP 地 址 ， 进 行 VYLAN 终 结 封装 和 使 能 ARP 广 播 功 能 ， 总 体 上 与 4.4.1 节 表 4-10 中 介绍 的 以 太 网 子 接口 的 配 
置 方法 基本 一 样 。 










































































































































































表 4-20 Eth-Trunk 子 接口 的 配置 步 又 


命令 
System-view 
例如 :< HUAWEI > system- 
View 


说 明 


进入 系统 视图 





interface eth-trunk trunk- 
id.subnumber 

例如 : [HUAWEJ] 
interface eth-trunk 2.1 


ip address ip-address 





刚 如 : [HUAWEI-Eth- 
Trunk2.1jip address 
192.168.0.10 255.255.255.0 


在 对 应 Eth-Trunk 接口 上 创建 指定 的 子 接口 , 进入 Eth-Trunk 子 
接口 视图 。 参 数 用 来 指定 所 创建 的 Eth-Trunk 子 接口 编号 ， 取 


为 以 上 Eth-Trunk 子 接口 配置 耳 地 址 。 缺 省 情况 下 ， 在 子 接口 
上 没有 配置 IP 地 址 ， 可 用 undo ip address ip-address { mask | 
mask-length } [sub ] 删除 子 接口 上 指定 的 下 地址 





dotlq termination vid low- 
pe-vid [ to high-pe-vid ] 
例如 : [HUAWEI-Eth- 
Trunk2.1]dotlq ”termination 
vid 4 


qing termination pe-vid 
pe-vid ce-vid ce-vidl [to 
ce-vid2 ] 

例如 : [[HUAWEI-Eth- 
Trunk2.1]qinq termination 
pe-vid 4 ce-vid 10 to 12 


配置 Eth-Trunk 子 接口 对 一 层 Tag 报 文 的 终结 功能 。 
缺 省 情况 ， 子 接口 没有 配置 dotlq 封装 的 单 层 
VLAN ID， 可 用 undo dotlq termination vid 
1ow-pe-vid [ to high-pe-vid ] 命令 取消 子 接口 dotlq 







(二 选 一 ) | 封装 的 单 层 VLAN ID 
单 层 或 双 | 其 他 说 明 参 见 4.4.1 节 表 4-10 中 的 第 4 步 






层 VLAN 
标签 终结 


配置 Eth-Trunk 子 接口 对 两 层 Tag 报 文 的 终结 功 
能 。 缺 省 情况 , 子 接口 没有 配置 QinQ 封装 的 双 
层 VLAN ID， 可 用 undo qinq termination 
pe-vid ce-vid 命令 取消 子 接口 QinQ 封装 的 双 层 
VLAN ID 

其 他 说 明 参 见 4.4.1 节 表 4-10 中 的 第 4 步 












arp broadcast enable 
例如 : [HUAWEI-Eth- 
Trunk2.1] arp broadcast 
enable 














使 能 Eth-Trunk 子 接口 的 ARP 广播 功能 。 缺 省 情况 下 ， 终 结子 
接口 没有 使 能 ARP 广播 功能 undo arp broadcast enable 命令 去 
使 能 终结 子 接口 的 ARP 广播 功能 

其 他 说 明 参 见 4.4.1 节 表 4-10 中 的 第 $ 步 








可 用 以 下 命令 查看 Eth-Trunk 子 接口 上 的 相关 配置 : 








(1) display interface eth-trunk [ trunk-id [.subnumber ] ] : 查看 指定 Eth-Trunk 子 接 


(2) display dot1q information termination [ interface eth-trunk [ trunk-id [.subnumber ] ] ] : 











dotlq 终 结 的 所 有 接口 的 名 称 以 及 终结 子 接口 对 用 户 报 文 终结 的 规则 数量 。 


(3) display qind information termination [ interface i eth-trunk [ trunk-id [.subnumber ] ] ] : 














QinQ 终 结 的 所 有 接口 的 名 称 以 及 终结 子 接口 








对 用 户 报 文 终结 的 规则 数量 。 








口 的 状态 。 





查看 配置 了 








查看 配置 了 





第 5 音 交换 机 堆 共 和 集群 配置 与 管理 





5.1 iStack 基 础 

5.2 iStack 配 置 与 管理 

5.3 CSS 基 础 

5.4 CSS 集 群 配 置 与 管理 

交换 机 堆 琶 和 集群 是 两 种 可 解决 单 台 交换 机 性 能 不 足 、 容 易 出 现 单 点 故障 问题 的 交换 机 管理 技术 。 实 
现 堆 琶 和 集群 后 的 各 成 员 交 换 机 一 起 可 看 成 一 台 逻 辑 交 换 机 系统 ， 可 通过 一 个 IP 地 址 进行 管理 ， 不 仅 大 大 
简化 对 各 成 员 交 换 机 的 管理 ， 而 且 从 整体 上 提高 单 台 交换 机 的 性 能 ， 其 中 的 各 成 员 交 换 机 间 还 可 实现 负载 
均衡 和 容错 ， 避 免 因 单 台 交换 机 出 现 故 障 而 出 现 网 络 中 断 。 
在 华为 $ 交 换 机 中 也 支持 交换 机 堆 琶 和 集群 功能 ， 其 中 扒 县 技术 为 iStack (Intelligent Stack， 智 
车) ，S2700、S3700、S5700 和 S6700 中 低 端 系列 交换 机 文 持 ;集群 技术 称 之 为 CSS (Cluster Switch 
System， 集 群 交换 系统 ) ， S7700、S9300、S9300E 和 S9700 高 端 交换 机 系列 支持 。 但 是 不 同 交换 机 系列 所 
支持 的 堆 释 或 者 集群 连接 方式 有 所 不 同 (有 通过 专门 的 堆 苔 卡 或 集群 卡 连接 的 ， 有 可 通过 普通 业务 口 连 接 
的 ) ， 当 然 在 配置 上 也 有 所 同 不 同 ， 在 配置 时 一 定 要 注意 。 这 两 种 交换 机 管理 技术 在 工作 原理 、 配 置 方法 
和 功能 支持 上 存在 许多 相似 性 ， 但 华为 iStack 推 琶 中 可 以 支持 的 成 员 交 换 机 更 多 些 〈 最 多 为 9 台 ) ， 目 前 华 
为 CSS 只 支持 两 台 交换 机 的 集群 。 

本 章 要 介绍 华为 $ 系 列 交换 机 的 iStack 推 乔 和 CSS 集 群 配置 与 管理 方法 ， 它 们 的 配置 和 管理 方法 都 是 比 
较 容 易 的 。 
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5.1 jiStack 基 1 





























交换 机 堆 营 是 一 种 提高 端口 可 用 背 板 带宽 ， 扩 展 交 换 机 端口 ， 提 高 交换 机 可 靠 性 ， 集 中 管理 多 台 交 换 
机 十 分 有 效 的 技术 。 它 可 将 多 台 文 持 堆 炙 特 性 的 交换 机 组 合 在 一 起 ， 从 逻辑 上 组 合成 一 台 整 体 交 换 机 ， 不 
仅 可 以 通过 一 个 命令 行 界面 ， 一 个 JP 地 址 进行 集中 管理 ， 还 可 以 提高 单 台 交 换 机 的 转发 性 能 和 可 靠 性 ， 实 
现 各 成 员 交 换 机 间 的 负载 均衡 。 在 如 图 5-1 所 示 的 拓扑 结构 中 ， 左 图 最 上 面 的 两 台 交 换 机 通过 堆 登 功能 后 就 
可 看 成 右 图 最 上 面 那 一 台 交 换 机 ， 这 就 是 交换 机 堆 登 的 最 直接 外 在 表现 形式 。 































































































iStack 








图 5-1 iStack 堆 巷 示 意图 




















在 华为 $ 系 列 交换 机 中 ， 交 换 机 堆肥 技术 称 之 为 iStack (Intelligent Stack， 智 能 堆 又 ) 。 它 主要 适用 于 
需要 更 高 端口 密度 和 交换 性 能 的 中 低 端 交换 机 中 ， 如 S2700、S3700、S5700、S6700 系 列 交换 机 。 而 高 端的 
S7700、S9300、S9300E 和 S9700 系 列 则 采用 的 是 更 高 级 的 性 能 扩展 技术 一 一 CSS (集群 交换 系统 ) ， 不 再 
支持 iStack， 有 具体 也 将 在 本 章 后 面 介 绍 。 
























































5.1.1 iStack 概 述 


istack 是 华为 系列 交换 机 的 堆 全 技术 。 与 其 他 堆 倒 技术 一 样 ， 在 iStack 


换 机 都 是 单独 的 





所 有 的 交换 机 ， 而 在 iStack 推 荐 系统 建立 后 ， 











户 使 用 一 个 卫 地 


实体 ， 都 有 自己 独立 的 IP 地 址 和 MAC 地 址 ， 对 外 体现 为 多 台 交 换 机 ， 用 户 需 要 独立 的 管理 
FPF 的 所 有 成 员 交 换 机 对 外 体现 为 一 个 统一 的 逻辑 实体 ， 用 























LE 























址 就 可 以 对 堆 车 ! 


























量 转 发 和 网 络 高 


Im| 





1. 交换 机 角色 





员 交 换 机 数 不 一 


(1) 主 交 换 机 。 主 交换 机 在 交换 机 堆 登 配置 文 

















换 机 堆 车 只 有 





(2) 备 交换 机 。 备 交换 机 在 交换 机 堆 秋 配置 文 





在 iStack 堆 谷中 所 有 的 单 台 交 









































样 ， 本 章 后 盏 


| 将 

















台 主 交换 机 。 






























































登 系统 建立 之 前 ， 每 台 成 员 交 





























的 所 有 交换 机 进行 管理 和 维护 。 通 过 交换 机 堆 释 ， 
可 靠 性 ， 同 时 简化 网 络 管理 。 


























牛 中 显示 为 Standby， 是 主 交换 机 的 备用 交换 机 ，/ 


























可 以 实现 网 络 大 数据 





换 机 都 称 为 成 员 交 换 机 《〈 最 多 可 以 有 8 人 台 ， 或 者 9 台 ， 不 同系 列 所 支持 的 成 
体 介 绍 ) ， 但 按照 各 自 功 能 的 不 同 又 可 以 分 为 以 下 三 种 


牛 中 显示 为 Master， 负 责 整 个 堆 营 系统 的 管理 。 











9 色 。 


























个 交 














j 于 当 





原 主 交 换 机 出 现 故障 时 接替 原 主 交 换 机 的 工作 ， 管 理 整 个 堆 车 系统 。 与 主 交 换 机 一 样 ， 一 个 交换 机 堆 靶 也 














只 有 一 台 备 交 换 机 。 
(3) 从 交换 机 。 从 交换 机 在 交换 机 堆 秋 配置 文 











牛 中 显示 为 Slave。 


换 机 外 的 其 他 所 有 交换 机 (包括 备 交 换 机 ) 都 是 从 交换 机 。 























2. 堆 疼 ID 
为 了 便于 识别 和 管理 交换 机 二 
分 配 了 一 个 堆 著 I 



































考 ， 




















3， 堆 登 优先 级 


二 ID， 即 成 员 编号 (Member ID ) ， 

































































































































































































































































和 一 个 交换 机 堆 合 系统 





» 除了 主 交 





各 成 员 交 换 机 ， 为 所 有 成 员 交 换 机 (包括 主 交 换 机 和 备 交 换 机 〉 都 
目 每 个 成 员 交 换 机 的 堆 受 ID 都 是 唯一 的 。 



















































































































































































既然 前 面 说 了 在 一 个 交换 机 堆 琶 中 有 一 个 主 交 换 机 ， 还 有 一 个 备 交 换 机 ， 那 么 如 何 确定 哪 台 成 员 交 换 
机 担当 这 两 种 比较 特殊 的 角色 呢 ? 这 就 要 用 到 堆 登 优先 级 属性 了 ， 用 于 堆 倒 角色 选举 过 程 中 确定 主 交 换 机 
和 备 交 换 机 和 角色。 优先 级 值 越 大 表示 优先 级 越 高 ， 优 先 级 越 高 当选 为 主 交 换 机 和 备 交 换 机 的 可 能 性 越 大 。 

4. 堆 芭 物理 成 员 端口 

这 里 所 说 的 “ 堆 又 物理 成 员 端口 "是 指 采 用 普通 业务 口 堆 闭 连接 方式 时 ， 各 成 员 交 换 机 上 用 于 堆 炙 连 接 
的 物理 业务 端口 ， 不 是 指 堆 共 卡 上 的 专门 堆 车 接 登 物理 成 员 端 口 用 于 转发 需要 跨 成 员 交 换 机 的 业务 
报 文 或 成 员 交 换 机 之 间 的 堆 车 协议 报 文 。 

5. 推 划 端 

这 里 所 说 的 “ 推 著 端 口 * 是 指 采 用 普通 业务 口 堆 著 连接 方式 时 用 于 堆 著 连接 的 逻辑 端口 ， 需 要 和 上 面 介 
绍 的 堆 车 物理 成 员 端 口 绑 定 ， 即 向 逻辑 堆 半 端口 中 添加 物理 成 员 端口 。 堆 著 的 每 台 成 员 交 换 机 上 支持 两 个 
堆 甘 端口 : Stack-Portn/1 和 Stack-Portn/2， 其 中 n 为 成 员 交 换 机 的 堆 丢 ID。 

5.1.2 iStack 特 性 的 产品 支持 























在 S2700/37 





PWR-EI 和 S2710SI[， 但 不 





换 机 


























00 系列 ! 





























EE 车 ;S3752SI 子 系列 交换 机 









































在 最 新 的 Sx700 大 系 中 ， 只 有 S2700、S3700、S5700 和 S6700 系 列 支 持 iStack 推 蚕 功 能 ， 但 这 些 系列 中 也 
并 不 是 所 有 机 型 都 支持 ， 而 且 S2700/3700 系 列 与 55700/6700 系 列 对 iStack 的 特性 支持 也 不 完全 一 样 。 

支持 堆 匡 的 交换 机 子 系列 有 S3700EI、S3700SI、S2700-52P-EI、S2700-52P- 

同 子 系 列 的 交换 机 不 能 混合 堆 阁 。 其 
E 若 ， 其 他 子 系列 产品 最 多 文 持 9 台 交 换 机 堆 车 。 
能 与 53728EI 子 系列 交换 机 组 成 








S3752EI 和 S3752SI 子 系列 最 多 支持 8 台 交 
需要 特别 说 明 的 是 : 其 中 的 S3752EI 子 系列 交换 机 不 
也 不 能 与 53728SI 子 系列 交换 机 组 成 




















E 套 。 也 就 








是 堆 县 中 各 成 员 交 换 机 不 仅 功 能 版 本 一 样 ， 而 且 一 般 来 说 端口 数 也 一 样 。 

a i Rete tee ea ， 不 同型 号 交换 机 之 间 也 不 可 以 混合 堆 羞 
。 不 同 机 型 所 支持 的 堆 著 连接 方式 将 在 本 节 后 面 介 

1. 堆 埠 主 、 备 交换 机 选举 

iSack 交换 机 堆 县 系统 由 多 台 成 员 交 换 机 组 成 ， 每 台 成 员 交 换 机 有 具有 一 个 确定 的 角色 。 堆 炙 建 立时 ， 成 
员 交 换 机 间 相 互 发 送 堆 县 竞争 报 文 ， 选 举 出 主 、 从 交换 机 。 当 从 交换 机 的 VRP 系 统 软件 版 本 号 与 主 交换 机 
的 VRP 系 统 软件 版 本 不 一 致 时 ， 从 交换 机 将 自动 同步 主 交换 机 的 VRP 系 统 软件 版 本 ， 复 位 重启 后 加 入 堆 县 
系统 。 主 交换 机 收集 成 员 信 息 并 计算 堆 靶 拓扑， 然后 将 堆 苔 拓扑 信息 同步 到 所 有 的 成 员 交 换 机 。 
主 交换 机 选举 规则 如 下 。 
(1) 首先 进行 运行 状态 比较 ， 己 经 运行 的 堆 革 交换 机 中 最 先 处 于 启动 状态 的 交换 机 将 被 选举 为 主 交 换 























































































































































































































机 。 


























党 











(2) 如 果 有 多 人 台 成 员 交 换 机 都 已 处 于 启动 状态 ， 则 再 对 这 些 交 换 机 进行 堆 受 优先 级 比较 ， 堆 二 优 先 
高 的 交换 机 优先 选举 为 主 交换 机 。 
(3) 如 果 某 些 成 员 交 换 机 的 堆 丢 优先 级 也 一 样 ， 则 再 对 这 些 成 员 交 换 机 进行 MAC 地 址 比较 ，MAC 地 
址 小 的 交换 机 优先 选举 为 主 交 换 机 。 
备 交换 机 选举 规则 如 下 。 
(1) 除 主 交 换 机 外 其 他 各 成 员 交 换 机 中 最 先 处 于 启动 状态 的 交换 机 成 为 备份 交换 机 。 
(2) 如 果 有 多 台 除 主 交 换 机 外 的 其 他 交换 机 同时 完成 启动 时 ， 则 这 些 成 员 交 换 机 中 堆 释 优先 级 最 高 的 
交换 机 成 为 备 交 换 机 。 
(3) 如 果 以 上 这 些 交 换 机 的 堆 丢 优先 级 也 相同 ， 则 MAC 地 址 最 小 的 将 选举 为 备 交换 机 。 
2. 堆 释 连接 方式 
“个 同系 列 关 玉 轴 NiStack 作 释 连接 方式 也 不 完全 一 样 。S2700 和 S3700 系 列 主要 支持 堆肥 卡 连接 方式 ， 
通过 专门 的 堆 丢 卡 中 提供 的 堆 炙 端 口 ( 也 可 使 用 复 用 上 行 千 兆 口 作为 堆 苔 端口 ;和 专用 的 SFP 高 速 堆 营 
ee i 
帽 ) 。 
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图 5-2 SPF 堆 县 线 缆 














S5700 和 S6700 系 列 文 持 以 下 两 种 堆 登 连接 方式 。 

(1) 堆 受 卡 连 接 : 各 成 员 交 换 机 之 间 通 过 专用 的 堆 又 卡 ETPC 和 专用 的 PCI-E 堆 闭 电 绕 (如 图 5-3 左 图 所 
示 ， 长 度 为 Im) 连接 。 仅 S5700EI 和 S5700SI 子 系列 支持 这 种 连接 方式 。 

(2) 业务 口 连接 : 各 成 员 交 换 机 间 通 过 堆 受 端口 绑 定 的 堆 受 物理 成 员 端 口 和 SFP+ 高 速 电缆 〈 如 图 5-3 
右 图 所 示 ， 连 接 器 为 20 针 SFP+ 公 头 ， 长 度 可 以 有 lm、3m 和 10m 三 种 规格 ) 相连 ， 不 需要 专用 的 堆 琶 插 
卡 。 仅 S5700LI、S5710EI 和 S6700 系 列 支 持 这 种 连接 方式 。 

S5700 和 S6700 系 列 中 各 子 系列 所 支持 的 扒 县 连接 方式 和 连接 性 能 说 明 如 表 5-1 所 示 。 































































































































































































图 5-3 PCI-E 堆 到 电 绕 和 SFP+ 堆 翅 高 速 电 比 





表 5-1 S5700 和 S6700 系 列 中 的 备 子 系列 所 支持 的 堆 车 连接 方式 


堆 合 方 | 支持 堆 合 最 大 堆 鸽 带 
本 下 


V200R001 版 本 : 单 交 换 机 最 多 
支持 2 个 堆 营 口 ， 每 个 堆 营 口 最 
V200R001 多 包含 1 个 物理 成 员 口 ， 单 交换 
版 本 : 交换 使 用 Im 无 机 最 大 支持 2 个 物理 成 员 口 
机 最 后 的 2 -ye Ne V200R002 及 以 后 版 本 : 单 交换 机 
$5700-P-LI 个 SFP 接 口 si 最 多 支持 2 个 堆 芝 口 ， 每 个 堆 秋 
(GE 上 行 0 V200R002 二 有 源 使 用 10m 有 日 最 多 包含 2 个 物理 成 员 口 ， 单 
款 型 ) | 及 以 后 版 | SF; 电费， | 源 SFP+ 电 费 | 交换 机 最 大 支持 4 个 物理 成 员 口 
本 : 交换 机 人 3 5GbiU、 | 支持 GE 上 行 款 型 之 间 混 堆 ， 不 
最 后 的 4 个 J ”0 | 支持 GE 上 行 款 型 与 10GE 上 行 
SFP 接口 款 型 之 间 混 堆 
S5700-10P-LI-AC 和 S5700-10P- 
PWR-LI-AC 不 支持 堆 合 
lm/3m 无 源 单 交换 机 最 多 支持 2 个 堆 若 口 ， 每 
SFP+ 电 缆 、 个 堆 若 口 最 多 包含 2 个 物理 成 员 口 ， 
10m 有 源 ioGbius “| 单 交换 机 最 大 支持 4 个 物理 成 员 口 
SFP+ 电 缆 、 普 支持 10GE 上 行 款 型 之 间 混 堆 ， 
通 的 SFP+ 光 不 支持 GE 上 行 款 型 与 10GE 上 
模块 和 光纤 行 款 型 之 间 混 堆 
EE 支持 S$700-SI 的 所 有 PoE 和 非 
人 12GbiVs ”| PoE 款 型 混 堆 
2k a S5700-26X-SI-12S-AC 不 支持 堆 登 
只 有 S5700-52C-El 和 S5700-28C- 
12Gbit/s EI-24S 支持 ， 但 支持 S$700-EI 
的 所 有 PoE 和 非 PoE 款 型 混 堆 
V200R001 版 本 : 单 交 换 机 最 多 支 
持 2 个 堆 营口 ， 每 个 堆 熏 口 最 多 包 
含 3 个 物理 成 员 口 ， 单 交换 机 最 大 
支持 4 个 物理 成 员 口 。 所 有 堆 鸽 口 
的 物理 成 员 口 分 布 必须 全 部 位 于 
前 面板 或 全 部 位 于 后 面 的 插 卡 上 
V200R002 及 以 后 版 本 : 单 交换 机 
最 多 支持 2 个 堆 天 口 ， 每 个 堆 芝 
口 最 多 包含 4 个 物理 成 员 口 ， 单 
交换 机 最 大 支持 8 个 物理 成 员 口 
支持 SS710-EI 的 所 有 款 型 混 堆 


S5700-X-LI 交换 机 最 
(10GE 上 | 各 | 后 的 4 个 
行 款 型 ) “| SFP+ 接 口 





S5700-SI1 





堆 登 卡 的 两 | lm/3m 的 


S5700-EI 个 推荐 口 PCle 电 级 





交换 机 上 
任意 10GE | lm/3m 无 源 
接口 : 包括 | SFP+ 电 纱 、 
交换 机 前 10m 有 源 
面 固定 的 4 | SFP+ 电 缆 、 普 
个 SFP+ 接 | 通 的 SFP+ 光 
口 和 后 面 的 | 模块 和 光纤 
SFP+ 搬 卡 


S5710-EI 





1m/3m/10m 
无 源 SFP+ 电 
| ep 
CV200RO0IC 

3 00 版 本 及 以 


支持 S6700 的 所 有 款 型 之 间 混 
10GbiVs “| 堆 ， 接 口 工作 在 GE 模式 时 不 支 
同时 8 个 接 持 堆 番 
3 后 版 本 支 
口 用 于 准 剑 | 持 )、 和 普通 
SFP+ 光 模块 
和 光纤 








S5700-HI 和 S5700S-LI 子 系列 目前 暂 不 支持 堆 车 








堆 释 连接 拓扑 结构 





2 





2 结构 有 “ 链 形 连 接 * 和 “环形 连接 ”两 种 。 环形 连接 拓扑 结构 是 堆 

















员 交 换 机 通过 堆 登 端口 交叉 相连 形成 一 个 “环形 结 构 ， 如 图 5-4 所 示 。 
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图 5-4 iStack 堆 又 环形 拓扑 结构 























链 形 连接 拓扑 结构 中 处 于 链 两 端的 交换 机 只 使 用 一 个 堆 秆 端口 与 邻居 交换 机 相连 ， 最 终 形成 一 个 “ 链 
条 ” 形 结构 (有 点 像 交 换 机 “级 连 ”) ， 如 图 5-5 所 示 。 相 比 之 下 ， 环 形 连 接 拓 扑 结 构 比 链 形 连接 拓扑 结构 具有 
更 高 的 可 靠 性 ， 因 为 当 链 形 连接 拓扑 结构 中 出 现 链 路 故障 时 会 引起 堆 倒 分 裂 ， 而 当 环 形 连 接 拓扑 结构 中 茶 
条 链 路 故障 时 会 形成 链 形 连接 ， 整 体 堆 登 的 业务 不 会 受到 影响 。 所 以 建议 在 实际 部 署 业务 时 采用 环 型 拓扑 
结构 部 署 。 
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图 5-5 iStack 堆 又 链 形 拓 扑 结构 

















4. 堆 靶 的 管理 和 维护 

iStack 堆 翅 建立 后 ， 所 有 的 成 员 交 换 机 形成 一 台风 辑 交换 机 存在 于 网 络 中 ， 所 有 成 员 交 换 机 的 资源 由 堆 
合 主 交换 机 统一 管理 。 用 户 可 以 通过 任意 一 台 成 员 交 换 机 的 网 管 接口 或 串口 登录 堆 革 系统 ， 对 整个 堆 营 系 
统 进行 管理 和 维护 。 但 同一 时 刻 只 能 由 一 个 网 管 接口 或 串口 登录 。 

另外 ， 在 管理 堆 受 中 的 成 员 交 换 机 时 与 管理 单 台 交换 机 时 在 接口 编号 方面 有 些 区 别 。 对 于 单 台 没有 运 
行 堆 半 的 交换 机 ， 接 口 编号 采用 : 0/ 子 卡号 /端口 号 ;而 在 交换 机 加 入 堆 受 后 ， 接 口 编号 采用 : 堆 受 ID/ 子 卡 
号 /端口 号 。 如 交换 机 没有 运行 堆 炙 时 ， 某 个 接口 的 编号 为 GigabitEthernet0/0/1; 在 该 交换 机 加 入 堆 芭 后 ， 如 
果 为 该 交换 机 分 配 的 堆 玛 ID 为 2， 则 该 接口 的 编号 将 变 为 GigabitEthernet2/0/1。 这 样 就 可 以 使 得 整个 堆 受 交 
换 机 中 各 接口 编号 具有 唯一 性 。 

5. 堆 秋 成 员 加 入 
在 iStack 堆 冯 维 护 和 使 用 过 程 中 会 继续 进行 拓扑 收 集 工作 ， 当 发 现 有 新 的 成 员 交 换 机 ( 己 配 置 了 堆 又 连 
接 和 堆 又 功能 ) 加 入 时 会 根据 新 加 入 交换 机 的 状态 采取 不 同 的 处 理 。 

(1) 如 果 新 加 入 的 交换 机 本 身 示 形成 堆 牙 ， 则 新 加 入 的 交换 机 会 被 选 为 从 交换 机 ， 堆 县 系统 中 原 有 
主 、 备 角色 不 变 。 

(2) 如 果 新 加 入 的 交换 机 本 身 己 经 形成 了 堆 又 ， 此 时 相当 于 两 个 堆 又 合并 。 在 这 种 情况 下 ， 两 个 堆 释 
系统 的 主 交 换 机 将 选举 出 一 个 更 优 的 交换 机 作为 新 堆 生 系 统 的 主 交 换 机 ， 其 中 一 个 堆 革 系统 (新 主 交 换 机 
所 在 堆 钱 系统 ) 将 保持 不 变 ， 业 务 也 不 会 受到 影响 ， 而 另外 一 个 堆 车 系统 的 所 有 交换 机 将 重新 启动 后 加 入 
新 堆 又 ， 并 将 同步 主 交 换 机 的 配置 ， 该 堆 琶 的 原 有 业务 也 将 中 断 。 

6. 堆 释 成 员 退 出 
















































































































































































































































































































































































































































































































































































































































































iStack 堆 赦 成 员 退 出 是 指 成 员 交 换 机 从 堆 释 系统 中 离开 ， 断 开 堆 又 连接 。 此 时 会 因 退 出 成 员 的 角色 不 同 
对 堆 芭 系统 的 影响 有 所 不 同 。 具 体 如 下 。 

(1) 主 交换 机 退出 : 备 交 换 机 升级 为 主 交 换 机 ， 更 新 堆 营 拓扑 结构 并 指定 一 个 新 的 备 交 换 机 。 

(2) 备 交 换 机 退出 : 主 交换 机 更 新 堆 全 拓扑 结构 并 指定 一 个 新 的 备 交 换 机 。 

(3) 从 交换 机 退出 主 交换 机 更 新 堆 靶 拓扑 结构 。 

7. 堆 闭 主 、 备 切换 和 堆 闪 系 统 MAC 地 址 切换 
当 iStack 堆 钱 系 统 成 功 建立 后 ， 如 果 主 交换 机 故障 或 脱离 堆 芭 系统 ， 则 备 交 换 机 自动 提升 为 主 交 换 机 ， 
然后 由 新 的 主 交 换 机 指定 新 的 备 交 换 机 ， 进 行 主 、 备 交换 机 数据 同步 。 这 里 的 堆 钱 主 、 备 切换 ， 以 及 堆 释 
系统 MAC 地 址 的 切换 又 要 区 分 以 下 3 种 情况 。 

(1) 当 堆 又 系统 第 一 次 成 功 建立 之 后 ， 此 时 堆 闭 系统 的 MAC 地 址 是 主 交换 机 的 MAC 地 址 。 当 主 交换 
机 发 生 故 障 或 脱离 堆 受 系统 时 ， 在 去 使 能 堆 县 系统 MAC 地 址 延 时 切换 功能 的 情况 下 ， 系 统 MAC 地 址 会 立 
刻 切 换 为 新 的 主 交 换 机 的 MAC 地 址 。 缺 省 使 能 堆 赤 系统 MAC 地 址 延 时 切换 功能 ， 延 迟 时 间 为 10min。 
(2) 当 堆 县 系统 成 功 建立 之 后 ， 如 果 主 交换 机 故障 或 脱离 堆 谷 系统 ， 如 果 堆 释 系 统 配置 了 系统 MAC 地 
址 切换 时 间 ， 且 在 切换 定时 器 超时 时 间 内 旧 主 交换 机 还 没有 重新 加 入 堆 县 系统 ， 则 新 主 交 换 机 将 堆 县 系 统 
的 MAC 地 址 切换 为 自己 的 MAC 地 址 ， 反 之 ， 如 果 在 切换 定时 器 超时 时 间 内 旧 主 交换 机 重新 加 入 堆 苹 ， 此 时 
系统 旧 主 交换 机 变 为 从 交换 机 ， 但 堆 苔 系统 的 MAC 地 址 不 切换 。 相 当 于 ， 此 时 堆 针 系 统 的 MAC 地 址 为 从 
交换 机 MAC 地 址 。 

(3) 当 堆 琶 交 换 机 中 有 从 交换 机 离开 时 ， 如 果 离 开 的 从 交换 机 的 MAC 地 址 是 堆 车 的 系统 MAC 地 址 
(如 上 面 这 种 情况 ) ， 且 该 交换 机 在 切换 定时 器 超时 时 间 内 没有 重新 加 入 堆 释 ， 则 主 交 换 机 将 堆 受 系统 
MAC 地 址 切换 为 自己 的 MAC 地 址 。 
但 要 注意 ， 频 繁 的 主 备 切 换 有 可 能 导致 堆 受 分 

8. 堆 堵 分 列 

iStack 堆 车 分 裂 是 指 稳 态 运行 的 堆 共 系统 中 带电 移出 部 分 成 员 交 换 机 ， 或 者 堆 车 线 绕 多 点 故障 导致 一 个 
堆 受 系 统 变 成 多 个 堆 受 系统 ， 如 图 5-6 所 示 。 扒 县 系 统 分 裂 后 ， 可 能 产生 多 个 有 相同 配置 的 堆 受 系 统 ， 导 致 
网 络 中 耳 地 址 和 MAC 地 址 的 冲突 ， 引 起 网 络 故 障 。 
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图 5-6 堆 营 分 裂 示 意图 











9. 双 主 检测 

双 主 检测 DAD (Dual-Active Detection) ， 是 一 种 检测 和 处 理 堆 琶 分 裂 的 协议 ， 可 以 实现 推倒 分 裂 的 检 
测 、 神 突 处 理 和 故障 恢复 ， 降 低 堆 县 分 裂 对 业务 的 影响 ， 仅 S5700 和 S6700 系 列 支 持 ， 且 仅 支 持 由 两 台 交 换 
机 组 成 的 堆 甘 系统 。 

双 主 检测 方式 有 两 种 : 直 连 检测 方式 和 Relay 代 理 检测 方式 。 

(1) 直 连 检测 方式 。 如 图 5-7 所 示 ， 堆 车 成 员 交 换 机 间 通 过 专用 直 连 链 路 进行 双 主 检测 。 在 直 连 检测 
方式 中 ， 堆 车 系统 正常 运行 时 ， 为 了 减轻 CPU 负担 不 发 送 DAD 报 文 ; 堆 著 系统 分 裂 后 ， 堆 车 成 员 交 换 机 
以 1s 为 周期 通过 检测 链 路 发 送 DAD 报 文 。 
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图 5-7 直 连 方式 双 主 检测 示意 图 






































《2) Relay 代 理 检 测 方式 。 如 图 5-8 所 示 ， Relay 代理 检测 方式 在 堆 车 系统 跨 交 换 机 Eth-Truank 上 启用 
DAD 检 测 ， 在 代理 交换 机 上 局 用 DAD 代 理 功 能 。 代 理 交 换 机 必须 为 支持 DAD Relay 代 理 功 能 的 交换 机 ， 目 
前 S 系 列 交换 机 都 支持 DAD Relay 代 理 功 能 。 
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图 5-8 Relay 代 理 方 式 双 主 检测 示意 图 













































































在 Relay 代 理 检测 方式 中 ， 堆 车 系统 正常 运行 时 堆 著 成 员 交 换 机 以 30s 为 周期 通过 检测 链 路 发 送 DAD 报 
文 。 堆 县 成 员 交 换 机 对 在 正常 工作 状态 下 收 到 的 DAD 报 文 不 做 任何 处 理 ， 挫 受 系统 分 裂 后 ， 挫 县 成 员 交 换 
机 以 1s 为 周期 通过 检测 链 路 发 送 DAD 报 文 。 
堆 又 分 裂 后， 分 裂 成 多 部 分 的 堆 炙 系统 会 在 检测 链 路 上 相互 发 送 DAD 竞争 报 文 。 堆 徐 系 统 将 接收 到 的 
报 文 信息 与 本 部 分 竞争 信息 做 比较 : 如 果 本 部 分 竞争 为 主 交 换 机 则 不 做 处 理 ， 保 持 Active 状 态 ， 正 常 转发 业 
务 报 文 ; 如 果 本 部 分 竞争 为 备 交 换 机 ， 则 需要 关闭 除 保留 端口 《交换 机 上 不 会 被 关闭 的 端口 ) 外 的 所 有 业 
务 端 口 ， 转 入 Recovery 状 态 ， 停 止 转发 业务 报 文 。 堆 车 链 路 修复 后 ， 处 于 Recovery 状 态 的 堆 芭 将 重新 启动 ， 
同时 将 被 关闭 的 业务 端口 恢复 Up， 整 个 堆 著 系统 恢复 。 































































































5.2 istack 配 置 与 管理 


























了 解 了 iStack 基 础 知识 后 ， 下 面 正 式 介绍 iStack 扒 县 的 配置 与 管理 方法 。 在 这 里 同样 要 注意 ，S2700、 
S3700 系 列 与 55700、S6700 系 列 在 iStack 堆 车 的 配置 上 同样 存在 一 些 区 别 ， 具 体 将 在 下 面 介绍 的 配置 步骤 中 
体现 。 

各 S 系 列 交换 机 与 iStack 推 琶 有 关 的 参数 的 缺 省 配置 ; 堆肥 使 能 状态 已 使 能 ， 堆 受 ID 为 0， 堆 受 优 先 级 为 
100。 

















































































































5.2.1 iStack 堆 铬 配置 任务 

















istack 堆 受 的 配置 不 是 很 复杂 ， 最 基本 的 配置 总 的 来 说 包括 几 个 方面 : 使 能 堆 羡 功能 ， 指 定 堆 又 端口 ， 
配置 堆 又 ID 和 堆 苹 优先 级 ， 当 然 还 可 以 有 一 些 其 他 可 选 配 置 任务 。 堆 钱 卡 连接 方式 和 业务 口 连 接 方 式 的 堆 
登 建 立 流程 分 别 如 图 5-9 左 、 右 图 所 示 。 
重新 启动 交换 机 使 堆 芭 建立 后 ， 用 户 可 以 根据 实际 需求 有 选择 地 配置 堆 炙 系统 保留 VLAN、 堆 释 系 统 
MAC 地 址 的 切换 时 间 和 接口 指示 灯 显 示 堆 车 ID。 
下 面 综合 介绍 以 上 两 种 堆 县 连接 方式 下 的 堆 和 到 基本 配置 任务 ， 注 意 这 些 配置 任务 中 绝 大 多 数 是 可 选 
的 ， 而 且 不 同 S 系 列 交换 机 中 在 配置 任务 上 也 有 所 不 同 。 

1. (可 选 ) 配置 堆 释 端口 (业务 口 连 接 方式 必 选 ) 

本 项 配置 任务 仅 S5700LI、S5710EI 和 S6700 系 列 交 换 机 需要 ， 使 用 的 是 普通 的 业务 口 作为 堆 车 端口 的 




































































































































































































































































物理 成 员 端 口 ， 以 堆 羞 卡 方式 连接 的 S2700、S3700、S5700SI 和 S5700EI 系 列 交 换 机 不 支持 此 配置 。 


堆 倒 卡 连 接 方 式 堆 全 建立 流程 图 | 业务 口 连 接 方式 堆 全 建立 流程 图 
使 能 堆肥 功能 使 能 堆 付 端口 











图 5-9 两 种 堆 芝 连 接 方式 下 的 堆 千 建立 示意 图 





























当 堆 县 成 员 交 换 机 之 间 通 过 业务 口 方式 连接 时 ， 需 要 将 普通 的 业务 口 配置 为 堆 县 物理 成 员 端 口 ， 并 将 
其 加 入 到 逻辑 堆 释 端口 中 。 堆 又 端口 必须 和 堆 芭 物理 成 员 端 口 绑 定 才能 有 效 。 一 个 堆 芭 端口 中 可 以 加 入 多 
个 堆 县 物理 成 员 端 口 ， 以 提高 扒 受 链 路 的 带宽 和 可 靠 性 ， 有 具体 能 绑 定 多 少 个 物理 成 员 端 口 ， 不 同系 列 交换 
机 也 不 一 样 ， 参 见 本 章 表 5-1 说 明 。 

2. (可 选 ) 使 能 堆 芭 功能 ( 堆 著 卡 连接 方式 必 选 ) 

本 项 配置 任务 仅 S5700EI 和 S5700SI 子 系列 ， 以 及 S2700 和 S3700 系 列 交换 机 需要 ， 使 用 的 是 专门 的 堆 
著 卡 中 的 端口 作为 堆 辣 端口 ，S5700LI、S5710EI 和 S6700 系 列 交换 机 中 以 业务 口 方 式 连接 的 堆 闭 不 支持 此 
配置 。 

3. (可 选 ) 配置 堆 阁 ID 
堆 芭 ID 用 来 标识 和 管理 堆 钱 中 的 成 员 交 换 机 ， 堆 释 中 所 有 成 员 交 换 机 的 堆 释 ID 都 是 唯一 的 。 堆 营 系 统 
建立 时 ， 如 果 成 员 交 换 机 的 堆 共 ID 有 冲突 ， 主 交换 机 将 为 冲突 的 成 员 交 换 机 重新 分 配 堆 共 D， 也 以 手工 指 
定 。 





























































































































































































































4. (可 选 ) 配置 堆 登 优先 级 
堆 登 优先 级 主要 用 于 角色 选举 过 程 中 确定 成 员 交 换 机 的 角色 ， 优 先 级 值 越 大 表示 优先 级 越 高 ， 优 先 级 















































越 高 当选 为 主 交换 机 的 可 能 性 越 大 。 每 台 成 员 交 换 机 的 缺 省 优先 级 都 是 100， 也 可 手工 指定 ， 最 好 指定 为 不 





同 优先 级 。 


5. 重新 启动 交换 机 
完成 以 上 基本 配置 后 ， 使 用 专用 的 堆 车 线 绕 连 接 两 个 堆 蕉 端口 ， 然 后 需要 


本 配置 生效 ， 









































mh 


新 启动 交换 机 ， 使 以 上 基 
以 建立 堆 登 。 重 新 启动 交换 机 使 堆 登 建立 后 ， 用 户 可 以 根据 实际 需求 有 选择 地 进行 下 面 的 配 

























































































置 任务 ， 如 配置 堆 受 系 统 保留 VLAN、 扒 县 系统 MAC 地 址 的 切换 时 间 和 接口 指示 灯 显 示 堆 县 ID 等 。 为 了 成 

































































功 组 建 堆 闭 ， 














用 户 可 以 通过 命令 行 或 手动 重新 启动 交换 机 。 

















6. 《可 选 ) 配置 主 备 倒 换 
在 iStack 扒 登 系统 建立 之 后 ， 如 果 主 交换 机 出 现 故 障 或 者 已 脱离 堆 登 系统 ， 则 原来 的 备 交 换 机 会 自动 提 
升 为 主 交换 机 ， 然 后 根据 选举 规则 确定 新 的 备 交 换 机 ， 并 进行 主 备 数据 同步 。 这 是 自动 切换 的 情况 ， 还 有 




































































一 种 人 工 强 制 倒 换 主 、 备 交换 机 角色 的 情况 。 





起 











址 ) 。 



































让 自动 切换 和 手工 强制 倒 换 的 这 两 种 情况 下 都 涉及 一 个 堆 共 系统 MAC 地 址 的 重新 确定 问题 ， 具 体 要 依 
据 以 下 3 种 情况 而 定 〈 当 堆 合 系统 第 一 次 成 功 建立 之 后 ， 此 时 堆 合 系统 的 MAC 地 址 是 主 交 换 机 的 MAC 地 





















































的 MAC 地 址 





(1) 如 果 去 使 能 了 堆 番 系统 MAC 地 址 延 时 切换 功能 ， 则 堆 稚 系统 MAC 地 址 会 立刻 切换 为 新 主 交 换 机 








( 缺 省 使 能 堆 车 系统 MAC 地 址 延 时 切换 功能 ， 延 迟 10min 切 换 〉。 









































《2) 如 果 使 能 了 堆 革 系统 MAC 地 址 延 时 切换 功能 ， 并 配置 了 堆 营 系统 MAC 地 址 切换 时 间 ， 则 在 切 


换 定时 器 超时 时 间 内 ， 如 果 旧 主 交 换 机 还 没有 


己 的 MAC 地 二 
































Im 


新 加 入 堆 登 ， 新 主 交 换 机 将 堆 琶 系统 的 MAC 地 址 切换 为 自 












































上 ;如果 在 切换 定时 器 超时 时 间 内 ， 旧 主 交换 机 重新 加 入 了 堆 琶 ， 则 旧 主 交换 机 变 为 从 交换 机 


























色 ， 但 堆 丢 系统 的 MAC 地 址 不 切换 ， 为 旧 主 交换 机 〔 现 为 从 交换 机 〉 的 MAC 地 址 。 
























































(3) 如 果 现 为 从 交换 机 ， 并 且 其 MAC 地 址 是 堆 划 的 系统 MAC 地 址 的 原 旧 主 交换 机 再 次 脱离 堆 芭 系 




















统 ， 则 当 该 交换 机 在 切换 定时 器 超时 时 间 内 没有 重新 加 入 堆 受 时 ， 新 主 交 换 机 将 堆 登 系统 MAC 地 址 切换 为 





自己 的 MAC+ 




















也 址 。 





7. (可 选 ) 配置 堆 对 系统 保留 VLAN 
缺 省 情况 下 ， 堆 县 系统 使 用 VLAN 4093 作 为 堆 芭 系统 的 保留 VLAN， 用 于 堆 野 协议 报 文 的 交互 ， 其 他 
业务 不 能 使 用 此 VLAN。 如 果 用 户 需 要 使 用 VLAN 4093 来 部 署 业 务 ， 可 以 通过 此 命令 来 修改 堆 生 系 统 的 保 


























留 VLAN。 




















































































































8. (可 选 ) 配置 堆 秋 系统 MAC 地 址 的 切换 时 间 
当 堆 又 交换 机 中 有 成 员 交 换 机 离开 ， 且 如 果 离 开 的 成 员 交 换 机 的 MAC 地 址 是 原来 堆 匡 系统 的 MAC 地 
址 。 为 了 在 这 种 情况 下 不 至 于 出 现 堆 赦 MAC 地 址 无 法 确定 的 现象 ， 可 在 堆 革 系统 配置 MAC 地 址 的 切换 时 





间 ， 使 得 MAC 地 址 为 堆 车 系统 MAC 地 址 的 菜 交 换 机 离开 堆 车 系统 ， 且 在 指定 的 时 i 
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j 没 有 重新 加 入 堆 登 系统 


出 












































时 ， 则 主 交 换 机 将 扒 登 系统 MAC 地 址 切换 为 自己 的 MAC 地 址 。 但 这 里 要 区 分 两 种 情况 。 

(1) 如 果 在 堆 县 系 统 建立 之 前 在 所 有 成 员 交 换 机 上 已 各 自 完 成 了 系统 MAC 地 址 切换 时 间 的 配置 ， 那 么 
在 堆肥 系统 建立 之 后 系统 MAC 地 址 切换 时 间 为 主 交 换 机 上 配置 的 系统 MAC 地 址 切换 时 间 ， 并 且 其 他 成 员 交 
换 机 的 系统 MAC 地 址 切换 时 间 和 主 交换 机 上 的 系统 MAC 地 址 切换 时 间 配 置 保持 一 致 。 当 堆 铸 系统 重启 出 现 
了 主 、 备 倒 换 ， 则 堆 车 系统 MAC 地 址 切换 为 新 主 交 换 机 的 MAC 地 址 ;当主 交换 机 不 变 时 系统 MAC 地 址 不 








发 生 改 变 ， 不 会 发 生 MAC 地 址 切换 。 














































































































































































































(2) 如 果 是 在 堆 车 系统 建立 之 后 配置 系统 MAC 地 址 切换 时 间 ， 则 在 发 生 主 、 备 倒 换 后 ， 但 原 主 交 换 机 
仍 在 堆 释 系统 中 时 ， 堆 又 系 统 重 启 后 系统 MAC 地 址 不 发 生 改变 ， 不 会 发 生 MAC 地 址 切换 。 
9. 《可 选 ) 配置 接口 指示 灯 显 示 堆 营 ID 























































































































M4 





堆 受 交换 机 的 堆 受 ID 可 以 在 堆 登 建立 时 由 主 交 换 机 上 自 


由 分 配 ， 具 体 哪 台 交 换 机 对 应 的 ID 就 很 难 分 辨 ， 此 时 若 想 对 























其 所 在 位 置 。 这 时 可 以 通过 配置 接口 








系列 交换 机 上 通过 接口 指示 灯 判 断 堆 邯 ID 的 规则 如 下 。 
(1) 堆 靶 ID 为 1~8 号 的 交换 机 :; 只 有 与 堆 合 ID 对 应 的 序号 端口 灯亮 。 例 如 ， 堆 琶 D 为 1， 则 第 一 个 端 





口 灯 亮 ， 堆 释 用 为 2， 则 第 


(2) 堆 钱 ID 为 0 号 的 交换 机 : 本 产品 支持 几 台 交换 机 堆 和 又， 就 是 前 本 
前 面 9 个 端口 灯 全 亮 表 示 本 交换 机 





支持 9 台 交 换 机 堆 登 ， 则 其 

















二 个 端口 灯亮 。 


由 分 配 ， 也 可 以 由 用 户 设 定 。 如 果 由 主 交 换 机 上 自 
痘 中 的 具体 一 台 交 换 机 进行 操作 将 无 法 确定 
指示 灯 指 示 对 应 的 扒 坡 ID 就 可 直观 地 显示 交换 机 的 堆 琶 ID 了 。 在 华为 S 


















































配置 接口 指示 灯 显 示 











二 ID 后 ， 主 交换 机 的 接 





\ 岂 兴 ,站 
态 为 常 亮 。 








5.2.2 配置 iStack 堆 车 








本 节 是 依据 上 节 介 绍 的 配置 任务 来 介绍 各 项 配置 任务 的 上 
配置 ， 则 需要 在 每 台 成 员 交 换 机 上 完成 3 


应 配置 步 又 的 支持 。 


























其 中 的 配置 ) 。 但 要 区 分 两 种 不 同 的 # 


























二 ID 为 0。 

















j 几 个 端口 条 全 亮 。 例 如 ， 某 产品 


口 指示 灯亮 灯 状 态 为 闪烁， 而 从 交换 机 的 接口 指示 灯 状 























表 5-2 iStack 堆 阁 的 配置 步 又 


命令 














system-view 
1 例如 : <HUAWEI> 
system-view 


进入 系统 视图 





stack port interface 
interface-type 
interface-number 





enable 
创建 链 路 例如 : [HUAWEI]stack 
聚合 组 ( 仅 port interface 3 
适用 于 采 gigabitethernet 0/0/28 让 2 
用 业务 口 enable 闪 
了 上 丝 登 
六 式 | 下 
交换 机 , 参 端口 ， 根 
见 表 5-1) 据 机 型 先 
stack port interface 择 其 中 一 
interface-type interface- 个 命令 


number] to interface- 
number2 enable 

例如 : [HUAWEI] stack 
port interface 
gigabitethernet 

0/0/5 to 0/0/8 enable 











仅 适用 于 S5700LI 和 SS710EI 子 系列 ， 
只 有 最 后 4 个 业务 口 可 以 配置 为 堆 释 
物理 成 员 端 口 ， 但 S5710EI 子 系列 还 
可 通过 子 卡 扩展 4 个 堆 码 物理 成 员 端 
]。 可 用 于 配置 物理 成 员 端 口 的 子 卡 
为 ESSD21X02S00 

缺 省 情况 下 ， 业 务 接口 未 配置 为 堆 受 
物理 成 员 端口 ， 可 用 undo stack port 


enable 命令 恢复 堆 芝 物理 成 员 端 口 为 
业务 口 


interface interface-type interface-number 





仅 适用 于 S6700 系列 , 最 多 可 以 配置 8 
个 业务 口 为 堆 秋 物理 成 员 端口 (端口 
号 不 固定 ), 但 必须 为 4 的 倍数 个 连续 
的 一 组 接口 同时 配置 , 例如 可 以 是 1 一 
4、5 一 8 或 者 1 一 8, 但 不 可 以 是 2 一 5、 
3 

缺 省 情况 下 ， 业 务 接口 未 配置 为 堆 营 
物理 成 员 端 口 ， 可 用 undo stack port 
interface interface-type interface-number] 
to interfuce-number2 enable 命令 恢复 
堆 达 物理 成 员 端 口 为 业务 口 














具体 配置 方法 ， 如 表 5-2 所 示 《〈 如 果 不 采 用 缺 省 
三 连接 方式 和 不 同 机 型 对 相 








( 续 表 ) 





创建 链 路 
聚合 组 ( 仅 
适用 于 采 
用 业务 口 
连接 方式 
的 S 系列 
交换 机 , 参 
见 表 5-1) 


interface stack-port 
mempber-id/port-id 
例如 : [HUAWEJD] 
interface stack-port 1/1 


进入 逻辑 堆肥 端口 视图 ， 仅 SS700LI、SS710EI 和 
S6700 系列 支持 此 命令 。 参 数 对 mempber-id/ port-id 
用 来 分 别 指定 堆肥 成员 交换 机 的 堆 登 ID 和 堆 车 端 
口 编号 ， 取 值 范围 分 别 为 0~8 和 0 一 2 的 整数 

iStack 堆 受 的 每 台 成 员 交 换 机 上 有 两 个 堆 登 端口 ， 即 
Stack-Portn/1 和 Stack-Portn/2， 其 中 n 为 成 员 交换 机 
的 扒 亚 ID- 执行 本 命令 进入 指定 的 堆 全 端口 视图 后 ， 
可 以 配置 对 应 成 员 交 换 机 的 堆 从 端口 的 相关 属性 





port member-group 
interface interface-type 
interface-nmumber 

例如 : [HUAWEI-stack- 
port0/1]port member- 
group interface 
gigabitcthernet 0/0/28 


quit 
例如 : [HUAWEI-stack- 
port0/1]quit 


stack enable 
例如 : [HUAWEI 
stack enable 


stack slot slot-id renumber 
new-slot-id 

例如 : [HUAWEI] stack 
slot 4 renumber 5 


向 以 上 逻辑 堆肥 端口 中 添加 堆肥 物理 成 员 端 口 , 仅 
S5700LI、SS710EI 和 S6700 系列 支持 此 命令 
【注意 】〗 在 向 堆叠 端 口中 添加 成 员 端 口 以 及 在 堆叠 
端口 连接 时 要 注意 以 下 事项 。 

(1) 堆 登 成 员 交 找 机 之 间 本 端 交换 机 的 堆 得 端口 1 
必须 与 对 端 交换 机 的 推 熏 端口 2 相连 

(2) S5700LI 子 系列 每 个 堆 登 端口 最 多 只 能 添加 2 个 
推 登 物理 成 员 端 口 ， 可 以 配置 的 4 个 推 大 物理 成 员 端 
口中 GigabitEthernet0/0/25 和 GigabitEthernet0/0/26 
必须 加 入 同一 个 堆 又 端口 ，GigabitEthernet0/0/27 和 
GigabitEthernet0/0/28 必须 同时 加 入 另 一 个 堆 登 端口 
(3) S5710EI 子 系列 最 多 只 能 添加 4 个 堆 玛 物理 成 
员 端 口 , 但 子 卡 上 的 接口 和 交换 机 面板 上 的 接口 不 
能 混合 加 入 同一 个 堆 又 端口 ,不同 子 卡 上 的 接口 可 
加 入 同一 个 堆 秋 端口 

(4) S6700 系列 最 多 只 能 添加 8 个 堆 委 物理 成 员 端 
口 ， 且 加 入 方式 不 受 限 制 

缺 省 情况 下 ， 推 释 端 口中 没有 扒 合 物理 成 员 端口 ， 
可 用 undo port member-group interface inrerfuce- 
type interface-number 命令 删除 堆 芝 端口 中 指定 的 
堆 合 物理 成 员 端口 


退出 堆 秋 端口 视图 ， 返 回 系统 视图 


使 能 交换 机 推 营 功 能 , 仅 适用 采用 堆叠 卡 连接 方式 
的 S5700EI、S5700S1 子 系列 交换 机 和 S2700、S3700 
系列 交换 机 。 交换 机 在 建立 堆 登 系统 之 前 必须 要 使 
能 堆 受 功能 

缺 省 情况 下 ， 交 换 机 的 堆 营 功能 处 于 使 能 状态 ， 可 
用 undo stack enable 命令 去 使 能 交换 机 的 堆 达 功能 
指定 成 员 交 换 机 的 堆 茵 DD。 命令 中 的 参数 说 明 如 下 。 
(1) slot-id: 指定 需要 修改 堆 合 ID 的 成 员 交换 机 堆 
县 ID, 取 值 范围 为 0~8 的 整数 , 缺 省 堆 全 ID 为 0 
(2) new-slot-id 指定 修改 后 的 堆 合 ID， 取 值 范 围 
为 0 一 8 的 整数 

修改 交换 机 的 堆 合 ID 时 会 有 确认 提示 ， 确 认 后 才 
会 执行 。 配 秆 交换 机 的 堆 侄 ID 后 ， 需 要 重启 交换 
机 配置 才能 生效 , 但 执行 该 命令 前 必须 先 使 能 成 员 
交换 机 的 堆 合 功能 





stack slot slor-id priority 
priority 

例如 : [HUAWEI] stack 
slot 5 priority 150 


例如 : [HUAWEH reboot 


display switchover state 
例如 : [HUAWEI]display 
Switchover state 


auto-update config 
例如 : [HUAWEIH] slave 
auto-update config 


slave Switchover enabie 
例如 : [HUAWEHslave 
switchover enable 


slave switchover 
例如 : [HUAWEI] slave 
Switchover 


stack reserved-vlan 
vlan-id 

例如 : [HUAWEI]stack 
reserved-vlan 2000 


配置 成 员 交 换 机 的 堆 合 优先 级 ,命令 中 的 参数 说 明 
如 下 。 

(1) slot-id: 指定 要 修改 推荐 优先 级 的 成 员 交 换 机 
扒 蚕 ID， 取 值 范围 为 0 一 8 的 整数 

(2) priority: 指定 修改 后 的 堆 登 优先 级 ， 取 值 范围 
为 1 一 255 的 整数 ， 缺 省 堆 全 优先 级 为 100。 值 越 
大 , 优先 级 越 高 , 交换 机 被 选 为 主 交换 机 的 可 能 性 
越 大 

修改 交换 机 的 堆 琶 ID 时 会 有 确认 提示 ， 确 认 后 才 
会 执行 , 并 且 执行 该 命令 前 必须 保证 交换 机 处 于 堆 
登 状 态 

重新 启动 交换 机 。 交 换 机 配 图 堆 合 相关 属性 
后 ， 如 修改 了 堆 受 ID 和 使 能 了 推荐 功能 ， 并 
使 用 了 专用 的 堆 登 线 缆 连 接 两 个 堆 全 端口， 需 
要 重新 启动 交换 机 后 配置 才能 生效 。 为 了 成 功 
组 建 堆 党 ， 用户 可 以 通过 本 命令 或 手动 重新 启 
动 交 换 机 。 但 重启 交换 机 前 使 用 save 命令 保存 
配置 

查看 系统 是 否 满足 主 备 倒 换 的 条 件 , 要 保证 备 交换 
机 处 于 实时 备份 阶段 〈 输 出 信息 显示 为 “receiving 
realtime or routine data”) 

使 能 主 、 备 交换 机 配置 数据 同步 功能 。 使 能 主 备 
交换 机 配置 数据 同步 功能 后 , 如 果 在 主 交换 机 上 
执行 命令 save 保存 配置 ， 系 统 自动 将 配置 信息 
同步 到 备 交 换 机 ， 实 现 主 、 备 交换 机 上 的 配置 文 
件 同步 

缺 省 情况 下 ， 主 备 交 换 机 配置 数 据 自动 同步 , 可 用 
undo slave auto-update config 命令 去 使 能 主 备 交 
换 机 配置 数据 同步 功能 

使 能 强制 进行 主 备 倒 换 功能 。 缺 省 情况 下 , 主 备 倒 
换 功 能 处 于 使 能 状态 ， 可 用 slave switchover 
disable 命令 禁止 强制 进行 主 备 倒 换 功 能 

强制 进行 主 备 倒 换 。 只 有 在 使 能 强制 进行 主 、 
备 倒 换 功能 之 后 ， 用 户 才 可 以 使 用 本 命令 进 
行 主 备 倒 换 ; 如 果 禁 止 强制 进行 主 备 倒 换 功 
能 ， 则 用 户 无 法 通过 配置 命令 强制 进行 主 、 
备 倒 换 

配置 堆 登 系统 保留 VLAN， 参 数 vlan-id 用 来 指定 
要 保留 给 堆 芝 系统 使 用 的 VLAN ID， 取 值 范围 为 
1 一 4 094 的 整数 

缺 省 情况 下 ， 堆 登 系 统 使 用 VLAN 4093 作为 堆 和 登 
系统 的 保留 VLAN， 用 于 堆 营 协议 报 文 的 交互 , 其 
他 业务 就 不 能 使 用 此 VLAN 

如 果 需 要 使 用 VLAN 4093 来 部 署 业务 ， 可 以 通过 
此 命令 米 修 改 堆 受 系统 的 保留 VLAN, 由 于 使 用 保 
留 vlan 部 署 业 务 时 会 导致 堆 登 无 法 组 建 ， 因 此 新 
指定 堆肥 系统 的 保留 VLAN 必须 是 没有 部 署 于 其 
他 业务 的 





(可 选 ) 
配置 堆 装 
系统 MAC 
地 址 的 
切换 时 间 


例如 : 


delay 5 


stack timer mac-address 

Switch-delay delay-time 
[HUAWEI] stack | 县 ， 
timer mac-address switch- 


配置 系统 MAC 地 址 的 切换 时 间 , 参数 的 delay-time 
痪 来 训 汪 天 允 MAC 地 址 的 切换 时 间 , 取 值 范围 为 
0 一 60min 
本 让 和 有 成 员 离开 , 如 果 离 开 的 交换 机 的 
MAC 地 址 是 堆 又 的 系统 MAC 地 址 ， 则 该 交换 机 
在 参 娄 a 指定 的 时 间 内 没有 重新 加 入 堆 


EE 交换 机 将 堆 芝 系统 MAC 地 址 切换 为 自己 的 
用 中 的 所 有 成 员 交 换 机 的 系统 MAC 
当 参 数 delay-time 


MAC 地 址 。 堆 
地 址 切换 时 间 与 主 交换 机 一 致 。 
的 值 设置 为 0 时 ， 表 示 不 切换 
缺 省 情况 下 , 系统 MAC 地 址 的 切换 时 间 为 10min， 
可 用 undo stack timer mac-address switch-delay 


命令 恢复 为 缺 省 值 





(可 选 ) 
配 忆 置 接 口 

os 下 

示 堆 营 ID 


duration-value ] 
例如 : 


led enable duration 6 














【示例 1)】 将 堆 莅 ID 为 4 的 交换 机 的 
< HUAWEI > system-view 
[HUAWEI]| stack slot 4 renumber 5 
Warning:Please do not frequently modify slotid, 
ntinue?[Y/N]:y 


大 ID 修 


























stack led enable [ duration 


[HUAWE!I] stack 





使 能 接口 指示 灯 显 示 堆 公交 换 机 的 堆 全 ID 功能 。 
命令 中 的 可 选 参 数 duration-value 指定 每 次 接口 指 
示 灯 显示 堆 合 ID 的 持续 时 间 , 取 值 范围 为 30 一 600 
的 整数 秒 ， 缺 省 为 45s 

0 缺 省 情况 下 , 交换 机 未 使 能 接口 指示 灯 显 示 堆 营 交 
换 机 的 堆 芭 ID 功能 ,可 用 stack led disable 命令 去 
使 能 该 功能 


改 为 5。 





it will make the stack split! co 


Info: Stack configuration has been changed, need reboot to take effect. 
【示例 2】 将 本 交换 机 的 系统 MAC 地 址 切换 时 间 配 置 为 4min。 

<HUAWEI > System-view 

[HUAWEH stack timer mac-address Switch-delay 4 





Warning:Please do not frequently modify mac Switch time, it will make the stack 


split! continue?[Y/N]:y 


【示例 3】 和 查看 系统 是 否 满足 主 备 倒 换 的 条 件 〈 仅 当 备 交 换 机 处 于 实时 备份 状态 才 满足 条 件 ) 。 











言 息 字段 说 明 如 表 5-3 所 示 。 


< HUAWEI > display switchover state 
Slot 1 HA FSM State(master): waiting for the slave to be inserted. 








表 5-3 display switchover state 命 令 输 日 


字段 说 明 


息 字段 说 明 


加 条 H 信 4 





表示 主 交换 机 的 备份 状态 ， 有 以 下 几 种 状态 。 

(1) waiting for the slave to be inserted: 表示 目前 只 有 主 3 
(2) waiting batch backup request from slave: 表示 主 交 换 机 在 等 
(3) realtime or routine backup: 表示 主 3 
(4) data smooth: 表示 主 交换 机 处 于 数据 平滑 状态 


HAFSM 
State(master) 


交换 机 而 没有 备 交 换 机 
待 备 交换 机 的 批量 备份 请 求 
交换 机 处 于 实时 备份 状态 





表示 备 交 换 机 的 备份 状态 ， 有 以 下 几 种 状态 。 
(1) ready: 表示 备 交 换 机 已 经 完成 启动 ， 
(2) receiving batch data: 
(3) receiving realtime or routine data; 表示 备 交 换 机 处 于 实 
状态 满足 主 备 倒 换 条 件 ) 


【示例 4】 配 置 系统 进行 主 备 倒 换 。 倒 换 前 


HA FSM 
State(slave) 








< HUAWEIL > system-view 
[HUAWEI] slave switchover enable 





并 准备 接收 批量 备份 数据 
表示 备 交换 机 正在 接收 批量 备份 数据 


时 接收 数据 的 状态 〈 仅 此 








输出 


会 有 系统 确认 提示 ， 只 有 键入 Y 或 者 y 才 执行 主 、 备 倒 换 操 


[HUAWEI] slave Switchover 


Warning: This operation will switch the slave board to the master board. Continue? [Y/N]:y 























5.2.3 iStack 堆 释 管 理 
在 配置 好 上 节 介 绍 的 iStack 堆 闭 后 以 及 iStack 堆 苹 使 用 过 程 中 ， 可 在 任意 视图 














看 相关 配置 和 统计 信息 ， 使 用 以 








(1) 使 有 











(2) 使 用 














(3) 使 用 









































jdisplay stack 命 令 查看 堆 县 成 员 交 换 机 
display stack peers 命 令 可 查看 堆 芭 系统 中 成 员 交 
































下 reset 用 户 视图 命令 清除 iStack 统 计 信息 。 











下 执行 以 下 display 命 令 查 








EE 又 信息 ， 包 括 堆 合 拓扑 和 








合成 员 等 信息 。 

















和 揣 机 各 堆 车 端口 

















相连 的 邻 











居 信 息 。 


display stack configuration [ slot slot-id ] 命令 可 查看 所 有 或 者 指定 堆 闭 ID 的 成 员 交 换 机 的 堆 靶 








(4) 在 S5700LI 和 S5710EI] 
看 指定 或 所 有 成 














E 闭 ID， 取 值 








br 


范 


CC 











员 交 换 机 / 堆 蕾 端 

















信息 





配置 信息 ， 包 括 堆 车 成 员 交 换 机 当前 以 及 下 次 启动 时 的 堆 闭 ID、 优 先 级 信息 。 可 选 参 数 slot-id| 
看 堆 针 配置 信息 的 成 员 交 换 机 的 围 为 0 一 8 的 整数 。 
系列 交换 机 中 使 用 display stack-port membership [ slot-i d/port-id ] 命令 查 


下 的 成 员 端 


o 














来 指定 要 查 











(5) 在 S6700 系 列 中 使 用 display stack-port { global load-balance | load-balance [ slot-id/port-id ] 


Imembership [ slot-id/port-id ] } 命 令 查看 所 有 成 员 交换 机 的 负载 分 担 模 式 ， 或 者 指定 成 员 交 换 机 / 扒 登 端口 
口 信 ; 





的 成 员 端 








(6) 使 用 











息 。 
display interface stack-port [ slot-id/port-id ] 





有 





于 | 





下 各 成 员 接口 








(7) 使 用 








的 流量 统计 信息 。 


县 





reset counters stack-port [ slot-id/port-id ] 命令 清除 所 有 或 指定 成 员 交 换 机 / 


计 人 信息。 如 果 不 指定 堆 车 成 员 交 换 机 的 


堆 全 成员 交换 机 





5.2.4 iStack 











入 








可 选 参 数 slot-id/port-id 





登 ID/ 堆 车 站 




















命 























下 


令 可 查看 所 有 或 者 指定 堆 千 成 员 交 换 机 /堆肥 端 























关口 编 号 ， 则 清除 所 有 类 型 让 























的 堆 受 ID/ 堆 闪 端 























配置 示例 








上 








口 编号 ， 则 清除 指定 端口 的 统计 信息 。 


j 来 指定 要 查看 流量 统计 信 


息 的 堆 县 ID/ 扒 雪 端 














LL 


佳 登 端口 的 状态 统 
利口 的 统计 信息 ， 如 果 指 定 
































本 示例 拓扑 结构 如 图 5-10 所 示 ，SwitchA、SwitchB、SwitchC 和 SwitchD 四 台 交 换 机 组 成 环 型 堆 野 系统 ， 


以 满足 网 络 规模 的 扩大 ， 以 及 日 
接 方式 的 S5700LI 子 系列 交换 机 为 例 
在 S5700LI 子 系列 交换 机 中 是 以 
口 时 ) 业务 端口 作为 
同一 条 堆 受 链 路 上 的 两 个 堆 受 物理 





LU 


员 端 
三 | 
A 


交换 机 的 堆 登 端口 2 相 
因为 本 示例 
步骤 可 以 很 容易 

















连 ， 


益 增加 


E 琶 端口 好 


下 


地 








的 接 入 


进行 介绍 。 
后 2 个 (每 个 堆肥 端 


口 的 ， 所 





























日 
只 是 





最 基本 的 堆 晕 纪 


日 建 











， 又 是 采用 业务 口 
































业务 端口 





又 。 


芷 为 堆 县 端口 
前 需 按照 图 5-10 所 示 拓 扑 结构 使 用 堆 登 电 























得 出 本 示例 只 需要 三 项 主要 配置 任务 








层 交 换 机 提 


口 需 如 入 不 同 








口 一 个 成 员 端 


口 时 ) 或 4 个 〈 每 个 堆 琶 端 


供 的 端口 数 要 求 。 本 示例 仅 以 支持 普通 业务 口 连 

















两 个 成 











以 需要 用 SFP+ 堆 全 








包 费 连 接 


堆 赫 端口 ， 即 本 端 交 








换 机 的 堆 登 端 


堆 三 连接 方式 ， 所 以 根 寺 


各 成 员 端口 ， 但 要 注意 的 
1 必须 与 对 端 























居 5.2.2 节 介绍 的 具体 配置 























的 成 员 端口 ， 配 置 堆 受 成 员 ID 和 


线 























《其 他 可 选 配 置 任务 均 采 用 缺 和 4 
登 优先 级 ， 重 局 各 成 员 交 换 











配置 )》 ， 即 指定 物理 


机 。 在 进行 正式 配置 
























































连接 好 各 成 员 交 换 机 。 以 下 是 这 三 项 配置 任务 的 


1L 体 配置 步 























在 配置 上 也 完全 一 样 ， 所 以 下 面 仅 以 SwitchA 上 的 配置 为 例 进行 介绍 ， 其 他 成 员 交 换 机 的 配置 完全 一 样 
见 即 可 。 


SwitchA SwitchB 


司 GE0O/0/28 x 
| GE0/0/27 


GE0/0/27 GE0/0/28 





GEO0/0/28 GEO0/0/27 
ssw GEO/0/27 \ 





SwitchC SwitchD 





GE0/0/28 





iStack Link 





common Link 



































图 5-10 S5700LI 子 系列 交换 机 堆 著 配置 示例 拓扑 结构 
























































(1) 在 各 成 员 交 换 机 上 配置 堆 登 端口 ， 添 加 物理 成 员 业 务 端口 。 因 为 各 成 员 交 换 机 是 同型 号 的 ， 而 且 
参 


























将 SwitchA 的 最 后 两 个 业务 端口 GigabitEthernet0/0/27 一 GigabitEthernet0/0/28 分 别 配置 为 1 号 和 2 号 堆肥 端 



























































口 的 物理 成 员 端 口 ， 并 加 入 堆 苇 端口 。 注 意 此 时 各 成 员 交 换 机 的 堆 著 有 D 均 为 0， 等 下 一 步 再 来 修改 各 交换 机 
EE 车 ID 。 






































<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] stack port interfacegigabitethernet0/0/27 enable 
Warning: Enabling stack port may cause configuration loss on the interface, cont 
inue?[Y/N]:y 
[SwitchA] stack port interfacegigabitethernet0/0/28 enable 
Warning: Enabling stack port may cause configuration loss on the interface, cont 
inue?[Y/N]:y 
[SwitchAj] interface stack-port 0/1 
[SwitchA-stack-portO/1] port member-group interfacegigabitethernet0/0/27 
[SwitchA-stack-portO/1] quit 
[SwitchAj] interface stack-port 0/2 
[SwitchA-stack-port0/2] port member-group interfacegigabitethernet0/0/28 
[SwitchA-stack-port0/2] quit 
(2) 配置 各 成 员 交 换 机 的 堆 登 ID 和 堆 三 优先 级 。 现 在 假设 以 SwitchA 为 主 交换 机 ， 现 只 要 为 SwitchA 配 

































































置 优先 级 《假设 为 200) ， 其 他 成 员 交 换 机 的 优先 级 保持 缺 省 值 100 即 可 使 SwitchA 成 为 主 交 换 机 。 在 堆 营 ID 























方面 ，SwitchA 采 用 缺 省 的 0 号 ，SwitchB、SwitchC 和 SwitchD 分 配 的 堆 暑 ID 分 别 为 1、2、3。 


) 和 SwitchB 的 堆 闭 ID (SwitchA 的 堆 共 有 D 不 用 配置 ，SwitchB、SwitchC 和 SwitchD 的 堆 闭 ID 配 置 方法 
SwitchB 的 一 样 ) 配置 方法 。 












































下 面 仅 介绍 SwitchA 的 优先 级 配置 《其 他 交换 机 的 优先 级 不 用 配置 ， 直 接 采 用 优先 级 较 低 的 缺 省 值 100 



















































































uJ 














































































































配置 SwitchA 的 堆 登 优先 级 为 200。 
[SwitchA] stack slot 0 priority200 
































5.2.5 双 主 检测 配置 与 管理 


Warning:Please do not frequently modify Priority, it will make the stack split! 


continue?[Y/N]:y 
配置 SwitchB 的 堆 有 登 ID 为 1。 
[SwitchB] stack slot 0 renumber1 

















Warning:Please do not frequently modify slotid, it will make the stack split! co 


ntinue?[Y/N]:y 


Info: Stack configuration has been changed, need reboot to take effect. 


(3) 在 各 交换 机 上 执行 save 用 户 视图 命令 保存 配置 在 配置 文件 中 ， 使 用 reboot 用 户 视 图 命令 重启 各 





成 员 交 换 机 。 
(4) 重启 各 成 员 交换 机 后 在 堆 受 主 交 换 机 SwitchA 的 任意 视图 下 执行 display stack 命 令 检查 以 上 配置 结 
果 ， 验 证 是 否 正 确 。 下 面 仅 以 SwitchA 为 例 进 行 介绍 ， 输 出 信息 如 下 ; 


























<SwitchA>display stack 

Stack topology type : Ring 

Stack system MAC: 0018-82d2-2e85 

MAC switch delay time: 10 min 

Stack reserve vlanid : 4093 

slot# Role Mac address Priority 


0 Master 0018-82d2-2e85 200 
1 Slave 0018-82c6-1f44 100 
2 Standby 0018-82c6-1lf4c 100 
3 Slave 0018-82b1-6eb8 100 




















DAD 报 文 是 BPDU 报 文 ， 在 代理 
情况 下 ， 接 口上 送 BPDU 报 文 到 CPU 处 理 。 
在 同一 个 堆 炙 系统 中 ， 两 种 检测 方式 互 斥 ， 不 可 以 同时 配置 。 为 了 保证 检测 的 可 
条 直 连 检测 链 路 或 4 个 Relay 代 理 检测 Eth-Trunk， 在 出 现 双 主 时 ， 只 要 有 1 条 直 连 检测 链 路 或 1 个 Relay 代 理 处 
于 Up 状态 即 可 确保 工作 正常 。 




















通过 配置 堆 受 双 主 检测 ， 可 以 检测 并 处 理 堆 受 分 裂 时 网 络 中 出 现 的 双 主 冲突 ， 但 
































Device type 


95700-28P-LI-AC 
95700-28P-LI-AC 
95700-28P-LI-AC 
95700-28P-LI-AC 
























































组 成 的 堆 登 系统 进行 双 主 检测 。 本 特性 仅 在 $S5700 逢 
登 双 主 检测 方式 有 两 种 。 












































j 直 连 链 路 进行 双 主 检测 。 














(1) 直 连 检测 方式 : 成 员 交 换 机 间 通 过 专 ) 














(2) Relay 代 理 检测 方式 : 成 员 交 换 机 间 通 过 启用 Relay 代 型 



































以 上 两 种 检测 方式 的 拓扑 结构 分 别 参 见 5.1.2 节 的 图 5-7 和 图 5-8。 


说 明 


1S6700 系 列 中 支持 iStack 堆 著 的 子 系列 交换 机 支持 。 堆 


仅 文 持 由 两 台 交 换 机 














LE 功能 的 交换 机 进行 双 主 检测 。 























DAD ( 双 主 检测 〉 为 华为 公司 的 私有 协议 ， 华 为 公司 生产 的 所 有 S 系 列 交 换 机 都 支持 DAD 代 理 功 能 。 





























交换 机 和 直 连 检测 链 路 的 中 间 交 换 机 上 需要 配置 接 










































































1. 配置 任务 





























转发 BPDU 报 文 。 缺 省 















































双 主 检测 的 配置 任务 包括 以 下 3 项 〈 仅 第 一 项 是 必 选 的 ) : 
(1) 配置 检测 方式 : 可 以 是 直 连 检测 方式 或 者 Relay 代 理 检测 方式 。 
































靠 性 ， 可 以 同时 配置 4 























(2) (可 选 ) 配置 保留 端口 。 双 主 检测 发 现 堆 受 分 裂 故 障 后 ， 为 防止 相同 的 MAC 地 址 、 卫 地 址 引起 





网 络 振荡 ， 


仅 做 报 文 透 传 功能 ， 出 现 双 主 故 障 时 不 会 影响 到 网 络 运行 





口 ， 在 双 主 故障 时 关闭 除 保留 端口 外 的 所 有 业务 端口 。 
(3) (可 选 ) 恢复 被 关闭 的 端口 。 如 果 在 堆 竺 











络 ， 则 可 以 通过 命令 行 先 启 月 








2. 配置 步 又 





需要 将 竞选 失败 的 成 员 交 换 机 上 的 所 有 业务 端口 关闭 ， 以 减少 对 网 络 的 影响 。 如 果 有 部 分 端口 
命令 将 这 些 端 口 配置 为 保留 端 


， 这 时 可 以 通过 














系统 分 裂 故障 恢复 前 ， 原 主 交 换 机 发 生 故 障 或 被 移出 网 


由 处 于 端口 关闭 状态 的 备份 交换 机 ， 使 所 有 业务 口 重新 恢复 正常 ， 让 它 接替 原 
主 交换 机 工作 ， 以 保证 业务 尽量 少 受 影响 。 











以 上 三 项 双 主 检测 具体 配置 任务 的 配置 步骤 如 表 5-4 所 示 。 





表 5-4 双 主 检测 的 配置 步骤 
OE ee 


进入 系统 视图 


system-view 
例如 : <HUAWEI> system-view 





iD 


interface jierJece-0Pe interface- 
mumber 

例如 : [HUAWEI]interface 
gigabitethernet 1/0/1 





键入 直 连 用 于 双 主 检测 的 以 太 网 
端口 ， 进 入 接口 视图 





mad detect mode direct 
例如 : [HUAWEI- 





配置 以 上 接口 的 直 连 双 主 检测 功 
能 。 缺 省 情况 下 ， 接 口 的 直 连 双 主 
检测 功能 处 于 关闭 状态 

【说 明 】〗 配 置 指定 接口 的 直 连 方式 双 
主 检测 功能 后 , 该 接口 会 进入 阻塞 状 
态 。 取 消 配置 指定 接口 采用 直 连 方式 























GigabitEthernetl/0/1]mad detect 双 主 检测 功能 后 , 接口 会 恢复 转发 功 
mode direct 能 ,所 以 在 接口 被 配置 直 连 双 主 检测 
功能 后 ， 不 要 再 配置 其 他 业务 
缺 省 情况 下 ， 接 口 的 直 连 双 主 检测 功 
能 处 于 关闭 状态 ， 可 用 undo mad 
人 detect mode direct 命令 去 使 能 该 功能 
7 式 interface eth-trunk 
| trunk-id 进入 堆 伙 交换 机 的 Eth-Trunk 接口 
2 | 例如 : [HUAWEH 在 堆 和 登 视图 
interface eth-trunk 2 交换 机 
ER 在 以 上 堆 装 交换 机 Eth-Trunk 接口 
mad detec e relay 3 .机 a LT 
例如 ，[HUAWELEth- | 代理 检 | (二 选 | 上 使 能 Relay 代理 双 主 检测 功能 。 
3 T . “| 缺 省 情况 下 ， 未 使 能 Relay 代理 双 
runk2]mad detect 测 功能 | 一 ) 配 主 检测 功能 ,可 用 undo mad d 
mode relav 这 梓 全 | 七 乳 ， undo ma etect 
i mode relay 命令 去 使 能 该 功能 
interface eth-trunk 代 2 
4 trunk-id :人 再 | 检测 进入 代理 交换 机 的 Eth-Trunk 接口 
例如 : [HUAWED 在 代理 方式 | 视图 
interface eth-trunk 2 交换 机 3 
i 在 以 上 代理 交换 机 Eth-Trunk 接口 
mad relay 代理 闪 上 使 能 Relay 代理 功能 
5 | 例如 : [HUAWELEth- 测 功能 缺 省 情况 下 ， 接 口 坟 使 能 Relay 代 
Trunk2]mad relay 理 功能 , 可 用 undo mad relay 命令 
去 使 能 该 功能 
配置 堆 登 交换 机 中 指定 的 端口 为 保留 端口 - 
缺 省 情况 下 ， 堆 登 物 理 成 员 端 口 为 保留 端 
口 ， 其 他 所 有 业务 口 均 为 非 保留 端口 ， 可 用 
mad exclude interface { interface- undo mad exclude interface { interface-type 
(可 选 》 pe interface-nmumber! [to interface- | interjace-numberl [to interface-type interface- 
配置 保留 6 ppe interface-number?2 ] } &<1-10> | number2 ] } &<1 - 10> 命 令 取消 堆肥 系统 指 
着 日 ” | 例如 : [HUAWED mad exclude ”| 定 接口 为 保留 端口 





interface gigabitethernet 1/0/2 to 
gigabitethernet 1/0/3 


【说 明 】〗 如 果 有 部 分 端口 仅 做 报 文 透 传 功 能 ， 出 
现 双 主 故障 时 不 会 影响 到 网 络 运行 ,这 时 可 以 通 
过 本 命令 将 这 些 端 口 配置 为 保留 端口 , 在 出 现 双 
主 故障 时 将 关闭 除 保留 端口 外 的 所 有 业务 端口 





(可 选 ) mad restore 

虽 每 被 交 

人 7 | 例如 ，[HUAWEImad restore 
J 

















将 堆 秋 分裂 后 进入 Recovery 状态 的 设备 被 
关闭 的 所 有 端口 重新 恢复 正常 
【说 明 】 双 主 检测 发 现 堆 登 分裂 产 生 的 双 主 冲 
突 后 ， 竞 选 成 功 的 成 员 交 换 机 保持 为 Active 
状态 ， 竞 选 失败 的 成 员 交 换 机 除 保留 端口 外 
的 所 有 业务 口 关闭 ， 转 入 Recovery 状态 ， 暂 
时 不 能 转发 业务 报 文 。 如 果 分 裂 故障 还 没 来 
得 及 修复 而 处 于 Active 的 交换 机 也 故障 了 或 
被 移出 了 网 络 ， 此 时 可 在 处 于 Recovery 状态 
的 交换 机 上 执行 本 命令 使 该 交换 机 上 处 于 关 
闭 状态 的 端口 重新 恢复 正常 ， 先 接替 原 
Active 交换 机 的 工作 ， 再 修复 原 Active 交换 
机 故障 及 堆 登 链 路 故障 。 故 障 修复 后 ， 两 台 
交换 机 重新 建立 堆 胎 系统 。 但 在 主 交 换 机 正 
常 工作 时 ， 不 能 执行 该 命令 ， 和 否则 会 再 次 发 
现 双 主 并 关闭 业务 端口 ， 从 而 导致 端口 震荡 





配置 好 后 ， 可 用 display mad verbose [ proxy | verbose ] 
选 一 可 选项 ， 则 显示 的 是 代理 交换 机 的 Relay 代理 信息 ， 
如 果 选 择 verbose 二 选 一 可 选项 ， 则 显示 的 是 堆 登 双 主 检测 
显示 双 主 检测 的 摘要 配置 信息 。 






































5.2.6 直 连 检测 方式 的 DAD 配 置 示例 





























本 示例 拓扑 结构 如 图 5-11 所 示 ，SwitchA 和 SwitchB 组 成 堆 倒 系统 ，SwitchA 的 堆 壹 ID 为 0， 
堆 县 ID 为 1。 在 GigabitEthernet0/0/5 和 GigabitEthernet1/0/5 接口 





县 分 裂 给 网 络 带 来 的 影响 。 





在 用 户 配 置 了 Relay 代 理 方式 的 双 主 检测 时 选用 ; 


命令 查看 双 主 检测 配置 信息 。 如 果 选 择 proxy 二 

















详细 配置 信息 ; 如 果 这 两 个 可 选项 都 不 选择 ， 则 











SwitchB 的 
上 配置 采用 直 连 双 主 检测 功能 ， 以 减少 堆 











Csso 
< 一 > 







SwitchA 


SwitchC 


GE0/0S GE005S 会 


SwitchB 


一 一 一 DAD 链 路 











iStack 链 路 
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图 5-11 直 连 检测 方式 的 DAD 配 置 示例 拓扑 结构 








根据 上 节 介 绍 的 配置 任务 可 以 很 容易 得 出 本 示例 的 具体 配置 步骤 ， 仅 需要 在 


检测 的 端口 上 启用 直 连 检测 功能 即 可 。 


























二 双方 交换 机 用 








于 直 连 

















(1) 在 SwitchA 上 配置 接口 GigabitEthernet0/0/5 采 用 直 连 检测 方式 的 DAD 功 能 。 


<HUAWEI>system-view 

[HUAWEI]| interface gigabitethernet 0/0/5 
[HUAWEI-GigabitEthernet0/0/5] mad detect mode direct 
Warning: This command will block the port, and no other 


this port is recommended. Continue?[Y/N]:y 


configuration running on 


















































(2) 在 SwitchB 上 配置 接口 GigabitEthernetl/0/5 采 用 直 连 检测 方式 的 DAD 功 能 。 

<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet 1/0/5 

[HUAWEI-GigabitEthernet1/0/5] mad detect mode direct 

Warning: This command will block the port, and no other configuration running on 
this port is recommended. Continue?[Y/N]:y 

配置 好 后 ， 可 在 任意 视图 下 通过 display mad verbose 命 令 查 看 堆 共 系统 双 主 检测 详细 配置 信息 ， 验 证 配 

置 结果 。 

<HUAWEI>display mad verbose 

Current DAD status: Detect 

Mad direct detect interfaces configured: 
GigabitEthernet0/0/5 
GigabitEthernet1/0/5 


Mad relay detect interfaces configured: 





















































Excluded ports(configurable): 

Excluded ports(can not be configured): 
GigabitEthernet0/0/27 
GigabitEthernet1/0/27 

















5.2.7 Relay 代 理 检 测 方式 的 DAD 配 置 示例 



































本 示例 拓扑 结构 如 图 5-12 所 示 ，SwitchA 和 SwitchB 组 成 堆 县 系统 ，SwitchA 和 SwitchB 通 过 接口 Eth- 
Trunk1 与 代理 交换 机 SwitchC 连 接 。 现 配置 Relay 代 理 双 主 检 测 功 能 ， 以 减少 堆 井 分 裂 给 网 络 带 来 的 影响 。 


有 关 Eth-Trunk 口 的 配置 参见 本 书 第 4 章 相关 内 容 。 
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图 5-12 Relay 代 理 检测 方式 的 DAD 配 置 示例 拓扑 结构 
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同样 根据 5.2.5 节 介绍 的 DAD 配 置 任务 可 以 得 出 本 示例 的 具体 配置 任务 分 别 在 堆 锋 交换 机 和 代理 交换 机 
上 配置 用 于 双 主 检测 的 Eth-Trunk 链 路 (要 癌 其 中 添加 物理 端口 成 员 ) ， 并 在 它们 的 Eth-Trunk 接口 上 启用 


Relay 代理 双 主 检测 功能 。 具 体 如 下 。 
(1) 在 交换 机 扒 登 与 代理 交换 机 SwitchC 相 连 的 Eth-Trunk 接 口上 配置 采用 Relay 代 理 检测 方式 的 DAD 功 































































































































































































台 已 
月 。 


<HUAWEI>system-view 
[HUAWEI] interface eth-trunk 1 
[HUAWEI-Eth-Trunk1] mad detect mode relay 
[HUAWEI-Eth-Trunk1] quit 

[HUAWEI] interfacegigabitethernet 0/0/5 
[HUAWEI-GigabitEthernet0/0/5] eth-trunk 1 
[HUAWEI-GigabitEthernet0/0/5] quit 
[HUAWEI] interfacegigabitethernet 1/0/5 
[HUAWEI-GigabitEthernet1/0/5] eth-trunk 1 
[HUAWEI-GigabitEthernet1/0/5] quit 

















(2) 在 代 型 





交换 机 SwitchC 的 Eth-Trunk 接 














<HUAWEI>system-view 

[HUAWEI] sysname SwitchC 

[SwitchC] interface eth-trunk1 
[SwitchC-Eth-Trunk1] mad relay 
[SwitchC-Eth-Trunk1] quit 

[SwitchC] interfacegigabitethernet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] eth-trunk 1 
[SwitchC-GigabitEthernet0/0/1] guit 
[SwitchC] interface gigabitethernet 0/0/2 
[SwitchC-GigabitEthernet0/0/2] eth-trunk 1 
[SwitchC-GigabitEthernet0/0/2] quit 





配置 好 后 ， 同 检 


























<HUAWEI>display mad verbose 
Current DAD status: Detect 


Mad direct detect interfaces configured: 


Mad relay detect interfaces configured: 
Eth-Trunk1 
Excluded ports(configurable): 


Excluded ports(can not be configured): 
GigabitEthernet0/0/27 
GigabitEthernet1/0/27 

可 在 代理 交换 机 SwitchC 上 通过 display mad proxy 命 令 查看 代理 信 ， 

<SwitchC>display mad proxy 



































Mad relay interfaces configured: 
Eth-Trunk1 


5.3 CSS 基 础 








口上 配置 采 ) 

















Relay 代 弄 














检测 方式 的 DAD 功 能 。 








可 通过 display mad verbose 命 令 查 看 堆 琶 系统 DAD 配 置信 息 ， 验 记 









































E 配 置 结果 。 具 体 如 














随 着 数据 中 心 数 据 访 问 量 的 逐渐 增 大 以 及 网 络 可 靠 性 要 求 越 来 越 高 ， 单 台 交 换 机 已 经 无 

















性 的 交换 机 组 合 在 一 起 ， 从 逻辑 上 组 合成 一 台 整 体 交 换 机 。 
交换 机 集群 技术 一 般 仅 应 用 于 高 端 交 换 机 系统 ， 如 华为 CSS 集 群 技术 在 Sx700 大 系列 中 ， 












































法 满足 需求 ， 





而 通过 交换 机 的 集群 能 够 实现 数据 中 心 大 数据 量 转发 和 网 络 高 可 靠 性 。 在 华为 系列 交换 机 中 ， 集 群 技术 称 
为 CSS (Cluster Switch System， 集 群 交换 系统 ) 。 与 其 他 交换 机 集群 技术 一 样 ， 它 也 是 将 多 台 支 持 集群 特 


只 有 S7700 和 








S9700 系 列 路 由 交换 机 支持 (以 前 的 S9300、S9300E 系 列 也 支持 ) ， 主 要 用 于 提高 单 台 交 换 机 的 转发 性 能 和 














可 靠 性 。 






































本 章 前 面 介绍 的 ， 在 中 低 端 52700、S3700、S5700 和 S6700 系 列 交 换 机 中 支持 的 iStack 堆 玫 技 术 最 重要 的 























一 种 应 用 就 是 扩展 端口 ， 虽 然 也 可 提高 单 台 交换 机 的 转发 性 能 和 可 靠 性 。 这 主要 是 因为 这 两 
交换 机 工作 的 层次 和 主要 用 途 不 一 样 ， 中 低档 次 的 交换 机 主要 工作 在 接 入 层 和 汇聚 层 ， 要 连 
交换 机 和 其 他 网 络 交换 机 ， 所 以 需要 大 量 的 端口 ， 而 高 端 交 换 机 主要 应 用 于 核心 层 ， 更 需要 
能 和 可 靠 性 的 提高 。 

































































种 不 同 档次 的 
接 大 量 的 终端 
交换 机 转发 性 





不 过 ， 大 家 往 后 学 习 就 会 发 现 ， 此 处 介绍 的 CSS 集 群 技术 与 本 章 前 面 介绍 的 iStack 堆叠 技术 无 论 是 在 特 






































块 卡 端口 连接 方式 和 普通 业务 端口 连接 方式 两 种 ， 都 提供 了 直 连 检测 和 Relay 代 理 检 测 这 两 和 
































性 上 ， 还 是 在 配置 上 都 存在 许多 相似 之 处 ， 如 都 有 主 、 备 交换 机 角色 ， 都 有 成 员 ID 和 优先 级 ， 都 可 以 有 模 





FDAD 〈 双 主机 


检测 ) 技术 等 。 但 有 一 个 非常 明显 的 区 别 就 是 ，CSS 目 前 仅 支 持 两 台 交 换 机 的 集群 ， 而 前 面 介绍 的 iStack 最 











多 可 以 支持 8~9 台 交换 机 的 堆 番 。 





5.3.1 CSS 基 本 概念 
































像 本 章 前 面 介绍 的 iStack 堆 营 技 术 一 样 ， 在 建立 集群 系统 之 前 ， 每 台 交 换 机 都 是 单独 的 实体 ， 有 自己 独 
























































立 的 JP 地址 和 MAC 地 址 ， 对 外 体现 为 多 台 交 换 机 ， 用 户 需 要 独立 地 管理 所 有 的 交换 机 ; 集群 建立 后 集群 成 
员 对 外 体现 为 一 个 统一 的 逻辑 实体 ， 用 户 使 用 一 个 IP 地 址 对 集群 中 的 所 有 交换 机 进行 管理 和 维护 ， 如 图 5-13 















































所 示 。 
图 5-13 CSS 集 群 示意 图 
在 华为 CSS 集 群 中 主要 涉及 以 下 基本 概念 。 
1. 角色 














目前 华为 S 系 列 交 换 机 仅 支 持 两 台 交 换 机 的 集群 ， 集 群 中 两 台 交 换 机 都 称 为 成 员 交 换 机 ， 








同 ， 它 们 分 为 以 下 两 种 角色 (因为 CSS 中 只 有 两 台 成 员 交 换 机 ， 所 以 没有 iStack 堆 从 中 的 “从 交换 机 ”角色 











了 ) 。 









































按照 功能 不 





(1) 主 交 换 机 : 显示 为 Master， 负 责 管 理 整 个 集群 系统 。 集 群 系统 中 只 有 一 台 主 交换 机 。 


























(2) 备 交 换 机 : 显示 为 Standby， 是 主 交 换 机 的 备份 交换 机 。 当 主 交 换 机 故障 时 ， 备 交换 机 会 接替 原 主 








交换 机 的 所 有 业务 。 集 群 系统 中 只 有 一 台 备 交 换 机 。 
2. 集群 ID 
在 iStack 堆 炙 中 每 个 成 员 交 换 机 有 堆 又 ID，CSS 集 群 中 各 成 员 交 换 机 也 有 对 应 的 集群 ID， 






























































用 来 标识 和 管 

















YH 











里 各 成 员 交 换 机 。 集 群 


3. 集群 优先 级 


因为 CSS 集 群 与 iStack 堆 稚 同 样 涉 及 主 交换 机 的 选举 ， 所 以 各 成 员 交 换 机 也 有 对 应 的 “ 














所 有 成 员 交 换 机 的 集群 DD 都 是 唯一 的 。 





























































































































和 























































































































































































































































































































































































































































































































性 ， 用 于 角色 选举 过 程 中 确定 成 员 交 换 机 的 角色 。 与 iStack 优 先 级 一 样 ，CSS 集 群 优先 级 也 是 优先 级 值 越 
大 ， 优 先 级 越 高 ， 优 先 级 越 高 当选 为 主 交 换 机 的 可 能 性 越 大 。 因 为 CSS 只 有 两 台 成 员 交 换 机 ， 所 以 主 交 换 机 
的 选举 就 很 简单 了 。 

4. 集群 物理 成 员 端口 

集群 物理 成 员 端 口 是 指 交换 机 LPU (Line Processing Unit， 线 路 处 理 单 元 ) 单 板 上 专用 于 集群 连接 的 物 
里 端口 。 集 群 物理 成 员 端 口 用 于 转发 需要 跨 成 员 交 换 机 的 业务 报 文 或 成 员 交 换 机 之 间 的 集群 协议 报 文 。 

5. 集群 端 

集群 端口 是 指 用 于 业务 口 集群 连接 方式 的 逻辑 端口 ， 需 要 和 上 面 介绍 的 集群 物理 成 员 端 口 绑 定 。 集 群 
的 每 台 成 员 交 换 机 支持 两 个 集群 端口 ， 为 CSS-Portn/1 和 CSS-Portn/2， 其 中 n 为 成 员 交 换 机 的 集群 ID。 
5.3.2 CSS 特 性 的 产品 支持 

目前 在 华为 Sx700 大 系列 中 ， 仅 S7700 和 S9700 系 列 文 持 CSS 集 群 ， 目 前 主流 应 用 的 S9300、S9300E 系 列 
也 支持 CSS 集 群 ， 且 都 只 支持 两 台 机 的 集群 。 在 S7700、S9300、S9300E 和 S9700 系 列 交换 机 中 支持 集群 特 
性 的 型 号 如 下 。 

(1) S7706、S7712 (S7706 和 S7712 之 间 可 以 混合 集群 )。 

(2) S9306、S9312 (S9306 和 S9312 之 间 可 以 混合 集群 )。 

(3) S9306E、S9312E (S9306E 和 S9312E 之 间 可 以 混合 集群 )。 

(4) S9706、S9712 (S9706 和 S9712 之 间 可 以 混合 集群 )。 

华为 系列 交换 机 所 支持 的 集群 特性 包括 集群 建立 、 和 集群 的 管理 和 维护 、 集 群 快速 升级 和 集群 双 主 检测 
等 。 下 面具 体 介绍 。 

1. 集群 线 缆 的 连接 

在 S7700、S9300 和 S9700 系 列 交 换 机 的 集群 成 员 交 换 机 之 间 的 连接 方式 有 和 集群 卡 连接 和 业务 口 连 接 两 种 
方式 。 

(1) 集群 卡 连接 

在 集群 卡 连接 方式 中 ， 每 台 交 换 机 上 必须 配置 两 块 同类 型 的 RPU (Route Processing Unit， 路 由 处 理 单 
元 ) 主 控 板 ， 即 都 是 SRUA 或 SRUB; 两 台 交 换 机 之 间 可 配 不 同类 型 的 SRU 主 控 板 ， 然 后 在 每 块 SRU 主 控 
板 上 插入 专门 的 集群 卡 。S7700 和 S9300E 系 列 交 换 机 支持 集群 卡 连接 方式 ; 而 S9700 和 S9300E 系 列 交 换 机 
不 支持 集群 卡 连接 方式 。 

在 这 种 集群 连接 方式 中 ， 集 群 成 员 交 换 机 之 间 通 过 SRU 主 控 板 上 插入 的 集群 卡 连 接 (每 块 集群 卡 上 有 
4 个 集群 口 》。 在 两 台 交 换 机 都 有 两 块 主 控 板 的 情况 下 ， 通 过 专用 的 集群 电 绕 QSFP+ 高 速 线 绕 或 QSFP+ 光 模 
块 和 光纤 将 这 8 组 集群 口 按照 图 5-14 规 则 连接 起 来 。 集 群 口 连接 规则 是 固定 的 ， 所 有 集群 接口 都 要 插 上 集群 
线 缆 ， 且 不 能 随意 连接 。 

(2) 业务 口 连接 

在 业务 口 连接 方式 中 ， 集 群 成 员 交 换 机 之 间 通 过 LPU 单 板 上 的 普通 业务 口 连接 ， 无 需 在 SRU 主 控 板 上 








插入 专门 的 集群 卡 。 仅 S7700、S9300、S9300E 和 S9700 系 列 支 持 此 种 集群 连接 方式 。 


业务 口 集 群 连接 方式 是 将 LPU 上 的 业务 
SFP+ 光 模块 〈 如 图 5-15 所 示 ) 和 光纤 或 SFP+ 集 群 线 缆 将 集群 物 























口 配置 为 集群 物理 成 员 端 口 后 加 入 逻辑 


里 成 员 端 
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群 端口 ， 多 
按照 图 5-16 规 则 连接 起 来 。S7700 














然后 通过 








和 S9700 都 支持 业务 口 连接 方式 。 对 于 业务 口 











连接 方式 ， 每 台 交 换 机 可 以 插 上 一 块 或 者 两 块 SRU 主 控 板 。 文 


持 配 置业 务 口 连接 方式 的 主 控 板 有 SRUA、SRUB 和 SRUD。 





SwitchA 


SwitchB 
集群 线 缆 








图 5-14 集群 卡 连接 规则 





集群 物理 成 员 端口 ; 上 














图 5-15 SPF+ 光 模块 







集群 物理 成 员 端口 ， 
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oe Bi 
图 5-16 业务 口 连接 规则 
业务 口 集群 方式 具有 灵活 的 组 网 形式 ， 每 块 单 板 最 多 可 配置 32 个 集群 物理 成 员 端 口 ， 提 高 了 集群 链 路 























的 带宽 和 可 靠 性 。 业 务 口 集群 按照 链 路 的 分 布 ， 又 有 两 种 组 网 形式 。 


(1) 1+0 组 网 : 配置 一 个 逻辑 集群 端口 


路 实现 集群 连接 。 


， 物 理 集群 端口 分 布 在 一 块 单 板 上 ， 依 靠 一 块 单 板 上 的 集群 链 























(2) 1+1 组 网 : 配置 两 个 逻辑 
成 备份 。 图 5-16 就 是 这 样 一 种 组 网 方式 。 

















集群 端口 








， 物 理 集群 端口 分 布 在 两 块 单 板 上 ， 不 同 单 板 上 的 集群 链 路 形 


为 保证 集群 系统 稳定 ， 集 群 连 线 时 需 注 意 以 下 儿 点 。 








(1) 每 个 逻辑 集群 端口 





只 





下 加 入 的 物理 集群 端 
能 与 对 端 交 换 机 的 一 个 逻辑 集群 端口 下 物理 集群 口 相连 ， 不 允许 混 连 ， 以 避免 出 现 如 图 5-17 所 示 的 连接 





下 的 物理 集群 端口 





口 数 量 不 限 ， 但 是 一 个 逻辑 集群 端口 





















































方式 〈SwitchA 中 的 同一 个 逻辑 集群 端口 下 的 物理 端口 与 对 端 SwitchB 的 两 个 SRU 单 板 上 的 物理 端口 连接 
To 


















| ] 集群 物理 成 员 端口 ; 
aa : 
， Ea DCOOoooooo| ， 


集群 物理 成 员 端 口 


ond : 












SwitchA SwitchB 























图 5-17 错误 的 连接 示意 图 























(2) 在 1+1 组 网 中 ， 建 议 两 块 单 板 上 的 集群 链 路 数量 保持 一 致 ， 并 且 使 用 相同 端口 速率 的 单 板 来 配置 
物理 集群 端口 。 同 时 对 于 S9712 或 $7712 两 块 单 板 建议 对 称 分 布 在 主 控 板 的 两 人 出， 例如 6 和 7 柳 位 ，5 和 8 村 
{el 、1 和 12 槽 位， 而 对 于 S9706 或 S7706 没 有 这 个 限制 。 

2. 支持 配置 业务 口 集 群 的 单 板 类 型 

S9700 系 列 交换 机 支持 业务 口 集群 的 单 板 类 型 包括 EH1D2X40SFC0、EH1D2X40SFC1、 
EH1D2X16SFC0、EH1D2X16SFC1、EH1D2X08SED4、EH1D2X08SED5、EH1D2L02QFC0、 
EH1D2L08QFC0 和 EH1D2X12SSA0。 

S9300 系 列 交 换 机 支持 业务 口 集群 的 单 板 类 型 包括 LE0DX12XSA00、LE0DX40SFC00、 
LEODX16SFC00、LE1D2L02QFC0、LE2D2X08SED4 和 LE2D2X08SED5。 

S9300E 系 列 交 换 机 支持 业务 口 集群 的 单 板 类 型 包括 LH2D2X12SSA0、LE0DX40SFC00、 
LEODX16SFCO0 和 LH2D2L02QFC0。 

S7700 系 列 交 换 机 支持 业务 口 集群 的 单 板 类 型 包括 ES0ODOX12SA00、ES1D2X16SFC0、 
ES1D2X40SFC0、ES1D2X08SED4、ES1D2X08SED5 和 ES1D2L02QFC0。 

3. 集群 建立 
在 建立 CSS 集 群 时 ， 成 员 交 换 机 间 相 互 发 送 集群 竞争 报 文 ， 选 举 出 主 交换 机 ， 负 责 集群 系统 的 管理 。 主 
交换 机 选举 规则 如 下 (依次 进行 比较 ， 直 到 选举 成 功 )。 

(1) 运行 状态 比较 ， 己 经 运行 的 交换 机 优先 处 于 启动 状态 的 交换 机 竞争 为 主 交 换 机 。 

(2) 如 果 两 台 交 换 机 都 处 于 启动 状态 ， 则 进行 集群 优先 级 比较 ， 集 群 优先 级 高 的 交换 机 优先 竞争 为 主 
交换 机 。 

(3) 如 果 集 群 优先 级 也 一 样 ， 则 进行 MAC 地 址 比较 ，MAC 地 址 小 的 成 员 交 换 机 优先 竞争 为 主 交换 















































































































































































































































































































































机 。 




















(4) 如 果 MAC 地 址 也 一 样 ， 则 进行 集群 DD 比较 ， 集 群 DD 小 的 成 员 交 换 机 优先 级 竞争 为 主 交 换 机 。 

选举 成 功 后 ， 如 果 主 、 备 交换 机 的 软件 版 本 号 不 一 致 ， 则 备 交 换 机 将 同步 主 交 换 机 的 软件 版 本 ， 复 位 
重启 后 加 入 集群 系统 。 集 群 建立 后 ， 集 群 成 员 对 外 体现 为 一 个 统一 的 逻辑 实体 ， 用 户 使 用 一 个 IP 地 址 对 集 
群 中 的 所 有 交换 机 进行 管理 和 维护 。 集 群 系统 的 耳 地 址 和 MAC 地 址 为 集群 系统 首次 建立 时 主 交换 机 的 了 地 
址 和 MAC 地 址 。 

4. 集群 的 管理 和 维护 

CSS 集 群 建立 后 ， 所 有 的 成 员 交 换 机 组 成 一 台 虚 拟 交 换 机 存在 于 网 络 中 ， 所 有 成 员 交 换 机 的 资源 由 主 交 







































































































































































换 机 统一 管理 。 用 户 可 以 通过 LPU 接 口 板 上 的 业务 口 、 系 统 主 用 主 控 板 上 的 串口 或 管理 网 口 登录 集群 系 
统 ， 对 整个 集群 系统 进行 管理 和 维护 。 

与 本 章 前 面 介绍 的 iStack 堆 苔 一 样 ， 在 CSS 集 群 建立 后 ， 各 成 员 交 换 机 上 的 接口 编号 要 进行 对 应 的 修 
改 ， 需 加 上 成 员 ID 进行 区 别 。 对 于 单 台 没有 运行 集群 的 交换 机 接口 编号 采用 的 格式 为 槽 位 号 / 子 卡 号 /端口 
号 ， 共 三 部 分 ， 交 换 机 加 入 集群 后 接口 编号 采用 的 格式 为 集群 ID/ 模 位 号 / 子 卡号 /端口 号 ， 共 四 部 分 。 如 交 
换 机 没有 运行 集群 时 某 个 接口 的 编号 为 GigabitEthernetl/0O/1， 则 当 该 交换 机 加 入 集群 后 ， 如 果 集 群 ID 为 2， 
则 该 接口 的 编号 将 变 为 GigabitEthernet2/1/0/1。 
在 集群 环境 下 ， 业 务 流量 转发 与 单机 环境 下 不 同 ， 跨 交换 机 的 转发 需要 经 过 交换 网 两 次 ， 不 是 直接 从 
集群 内 部 的 一 台 交 换 机 转发 到 另 一 台 交 换 机 上 。 对 于 报 文 内容 的 处 理 没有 区 别 ， 都 需要 进行 一 次 上 、 下 行 
处 理 。 

5. 配置 文件 的 备份 与 恢复 

交换 机 从 非 集群 状态 进入 集群 状态 后 ， 会 自动 将 原 有 的 非 集群 状态 下 的 配置 文件 进行 备份 〈 自 动 将 原 
有 的 配置 文件 加 上 .bak 的 扩展 名 ) ， 以 便 在 去 使 能 集群 功能 后 恢复 原 有 配置 。 如 原配 置 文件 扩展 名 为 .cfg， 
则 备份 配置 文件 扩展 名 为 .cfg.bak， 如 原配 置 文件 扩展 名 为 .zip， 则 备份 配置 文件 扩展 名 为 .zip.bak。 

在 去 使 能 交换 机 的 集群 功能 时 ， 如 果 用 户 想 要 恢复 交换 机 的 原 有 配置 ， 则 可 以 通过 更 改 备份 配置 文件 
名 并 指定 其 为 下 一 次 启动 配置 文件 ， 重 启 交 换 机 即 可 恢复 原 有 配置 。 

6. 集群 分 裂 

与 前 面 介绍 的 iStack 扒 有 到 一 样 ， 集 群 系统 也 可 能 出 现 分 裂 现象 。 在 CSS 集 群 建立 后 ， 主 、 备 交换 机 之 间 
定时 发 送 心跳 报 文 来 维护 集群 系统 的 状态 ， 集 群 电缆 发 生 故 障 可 能 会 导致 两 台 交 换 机 之 间 失 去 通信 ， 两 台 
交换 机 之 间 的 心跳 报 文 超时 ， 此 时 集群 系统 将 分 裂 为 两 台独 立 的 交换 机 ， 如 图 5-18 所 示 。 
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CSS GSS 已 SS 冰 
全 一人 - 印 ， 印 
GSSDnkee 2 和 
SwitchA SwitchB SwitchA SwitchB 
图 5-18 CSS 分 裂 示意 图 




















CSS 集 群 系统 分 裂 后 ， 若 两 台 交 换 机 都 在 正常 运行 ， 其 全 局 配置 完全 相同 ， 会 以 相同 的 卫 和 MAC 地 址 
与 网 络 中 的 其 他 交换 机 交互 ， 就 会 导致 IP 地 址 和 和 MAC 地 址 冲突 ， 引 起 整个 网 络 故 障 ， 此 时 即 需 要 依靠 下 五 
将 要 介绍 的 集群 双 主 检测 (DAD) 解决 。 

7. 双 主 检测 

双 主 检测 (Mad Detect，DAD) ， 是 一 种 检测 和 处 理 集群 分 裂 的 协议 ， 可 以 实现 集群 分 裂 的 检测 、 冲 
突 处 理 和 故障 恢复 ， 降 低 集 群 分 裂 对 业务 的 影响 。 

与 iStack 双 主 检测 一 样 ，CSS 集群 的 双 主 检测 方式 也 有 “ 直 连 检测 ”和 “Relay 代理 检测 ”两 种 方式 。 具 体 
参见 5.1.2 节 第 9 点 介绍 。 

说 明 

因为 集群 中 的 双 主 检测 与 本 章 前 面 介绍 的 iStack 堆 又 中 的 双 主 检测 配置 方法 完全 一 样 ， 只 不 过 这 里 需要 
在 集群 机 上 配置 ， 而 不 是 在 堆 登 交换 机 上 配置 ， 故 在 本 节 后 面 不 作 有 具体 介绍 ， 有 具体 配置 步骤 参见 本 章 5.2.5 


































































































































































































































































































节 即 可 。 
8. 快速 升级 
集群 快速 升级 提供 一 种 在 集群 系统 的 成 员 交 换 机 软件 版 本 升级 过 程 中 不 中 断 当 前 转发 业务 的 机 制 ， 减 

















少 了 升级 交换 机 
在 集 和 


工 才 


在 备 交 换 机 











发 。 
后 ， 








[对 业务 的 影响 。 


fF 进行 快速 升级 时 ， 备 交换 机 将 





忆 以 计 











f 版 本 重 














新 启动 ， 完 成 升级 ， 此 时 数据 














流量 由 主 交 换 机 转 

















L 升 级 的 过 程 中 主 交换 机 将 触发 集群 分 裂 并 变 成 一 个 单机 集群 的 系统 。 在 备 交 换 机 完成 升级 


备 交 换 机 升级 为 主 交 换 机 ， 转 发 数 





系统 的 备 交 换 机 。 
为 了 确保 在 集群 升级 过 程 























流量 ， 此 时 原 主 交 换 机 以 新 版 本 


FP 不 出 现 数 据 流 中 断 的 现象 ， 需 要 确保 与 集群 相连 的 交换 机 使 有 














E 新 启动 ， 完 成 升级 后 成 为 集群 























月 双 线 元 余 连 


接 方式 ， 也 就 是 分 别 与 主 、 备 交换 机 都 有 直接 的 链 路 连接 ， 一 般 是 通过 跨 集群 交换 机 的 Eth-Trunk 链 路 来 实 


现 的 ， 如 图 5-19 中 的 了 




































SwitchA 
(Master) S 


















































































































































SwitchB 
(Standby) 
































其 他 交换 机 都 与 集群 中 的 两 台 交 换 机 通过 Eth-Trunk 链 路 直接 的 连接 。 














< 一 ~ 数据 流量 
< 天 Eth-Trunk 













































































































































































































































































图 5-19 CSS 集 群 快 速 升 级 时 的 交换 机 连接 示意 图 

另外 ， 需 要 在 集群 中 配置 本 地 流量 优先 转发 功能 ， 使 得 数据 在 升级 过 程 中 直接 从 当前 担当 主 交 换 机 角 
色 的 交换 机 上 转发 。 在 集群 快速 升级 过 程 中 ， 会 出 现 集群 分 裂 ， 会 看 到 集群 分 裂 的 告警 ， 但 这 属 正常 现 
象 。 
5.4 CSS 集 群 配置 与 管理 

在 了 解 了 华为 $ 系 列 交换 机 中 的 CSS 集 群 基础 知识 后 ， 本 节 要 正式 介绍 CSS 集 群 的 配置 与 管理 方法 。 先 
了 解 一 下 CSS 集 群 配置 过 程 中 的 一 些 注意 事项 和 缺 省 配置 。 
5.4.1 配置 注意 事项 及 缺 省 配置 

1. 配置 注意 事项 

在 配置 CSS 集 群 中 要 注意 以 下 事项 。 

(1) 建议 使 用 相同 端口 速率 的 单 板 配置 业务 口 集群 ， 不 同 单 板 可 能 会 导致 跨 集 群 交 换 机 的 流量 转发 不 
稳定 。 

(2) 对 于 一 块 配置 物理 集群 口 的 单 板 ， 在 组 网 时 建议 不 要 部 署 跨 集群 交换 机 转发 业务 ， 因 为 来 自 其 业 
务 口 的 跨 集群 交换 机 业务 流量 本 板 优 先 转发 ， 不 进行 板 间 负载 均衡 。 

(3) 业务 口 集群 支持 FSU (Flexible Service Unit， 灵 活 服 务 单元 ) 子 卡 ， 使 用 FSU 子 卡 时 ， 和 集群 系统 中 
的 主 控 板 必 须 同时 插 上 FSU 子 卡 。 

插 有 FSU 子 卡 ， 并 配 有 业务 口 连接 方式 的 集群 交换 机 ， 在 降级 到 不 支持 业务 口 集群 的 版 本 时 ， 会 出 现 
降级 失败 ， 降 级 前 需 删 除 业 务 口 连 接 方式 集群 的 配置 。S9700 从 V200R001C01 版 本 开始 支持 业务 口 连 接 方 











式 集群 ，S7700 从 V200R002 版 本 开始 支持 业务 口 












































业务 口 连接 方式 集群 。 
2. 业务 口 配置 为 集群 物理 成 员 端口 后 支持 的 命令 
在 业务 口 配置 为 集群 物理 成 员 端 口 后 ， 该 接口 









































仅 用 来 传输 集 杂 








连接 方式 集群 ，S9300 和 S9300E 从 V200R002 版 本 开始 支持 


LE 相 关 的 报 文 ， 不 能 配置 业务 。 同 时 很 多 

















接口 视图 下 的 命令 也 将 屏蔽 ， 但 仍然 支持 以 下 命令 。 
® set flow-stat interval 
e description 〈 接 口 视 图 ) 
e log-threshold 
e trap-threshold 





e display interface 

e display interface brief 

e display interface description 

e display counters 

® reset counters interface 

® reset counters if-mib interface 

® set flow-statistics include-interframe 
3. 缺 省 配置 
与 CSS 集 群 相关 的 参数 缺 省 配置 如 表 5-5 所 示 。 















































表 5-5 CSS 集 群 相关 的 参数 缺 省 配置 








参数 缺 省 值 





集群 使 能 状态 未 使 能 





集群 方式 


S9700 和 S9300E 系列 交换 机 仅 支 持 业 务 口 连接 模式 , 缺 省 均 为 业务 口 连接 方式 , S7700 
和 S9300 系列 同时 支持 业务 口 连接 方式 和 集群 卡 连接 方式 , 缺 省 为 集群 卡 连接 方式 





集群 ID 


1 





集群 优先 级 


1 











5.4.2 CSS 集 群 配置 任务 






































与 本 章 前 面 介绍 的 iStack 扒 过 配置 差不多 ，CSS 集 群 的 本 























括 几 个 方面 : 使 能 功能 ， 指 定 集群 端口 ， 配 置 集群 ID 和 集 妖 











务 。 针 对 S7700、S9300、S9300E 和 S9700 系 列 所 支持 的 集群 :| 





分 别 如 图 5-20 的 左 、 右 图 所 示 。 





已 置 
优先 级 ， 当 然 还 可 以 有 一 些 其 他 可 选 配 置 任 





也 不 是 很 复杂 ， 最 基本 的 配置 总 的 来 说 就 包 





















































连接 方式 和 业务 口 连接 方式 的 集群 建立 流程 


集群 卡 连 接 方式 集群 建立 流程 图 | 业务 口 连接 方式 集群 建立 流程 图 


eg ee 














图 5-20 两 种 集群 连接 方式 下 的 集群 建立 流程 示意 图 



































当 重 启 交 换 机 集群 建立 后 ， 用 户 可 根据 需要 选择 性 配置 故障 恢复 时 接口 延 时 Up 功能 、 集 群 系统 MAC 














地 址 、 交 换 机 快速 升级 等 。 












































下 面 综合 介绍 以 上 两 种 CSS 集 群 连接 方式 下 的 集群 基本 配置 任务 ， 注 意 这 些 配置 任务 中 大 部 分 是 可 选 














的 ， 而 且 不 同 S 系 列 交换 机 中 在 配置 任务 上 也 有 所 不 同 。 
1. 配置 集群 ID 









































况 下 ， 交 换 机 的 集群 D 都 为 1， 所 以 在 建立 集群 前 ， 需 要 手工 配置 集群 中 的 一 
建立 后 ， 请 勿 修改 交换 机 的 集群 DD， 否 则 将 导致 集群 分 裂 。 
2. 配置 集群 连接 方式 

































































集群 中 的 两 台 交 换 机 拥有 不 同 的 集群 ID， 分 别 为 1 或 者 2， 相 同 ID 的 两 台 交 换 机 不 能 
台 交 换 机 集群 ID 为 2。 集 群 








委 立 集群 。 缺 省 情 











前 面 介绍 了 CSS 集 群 成 员 交 换 机 之 间 的 连接 方式 有 “集群 卡 连接 "和 “业务 口 连接 ”两 种 ， 集 群 卡 连接 方式 











是 集群 成 员 交 换 机 之 间 通 过 SRU 主 控 板 上 的 集群 卡 连接 ; 业务 口 连接 方式 是 集群 成 员 交 换 机 之 间 通 过 LPU 














上 的 普通 业务 口 连 接 。 两 种 连接 方式 互 斥 ， 只 能 以 其 中 一 种 连接 方式 组 建 集群 。 各 系列 交换 机 对 这 两 种 连 




















接 方式 的 支持 请 参见 本 章 5.3.1 节 相关 内 容 。 
3. 配置 集群 端口 〈 仅 采用 业务 口 连接 方式 时 需要 ) 







































































集群 端口 。 但 只 有 配置 集群 连接 方式 为 业务 口 连接 时 才 需 要 执行 此 项 配置 任务 ， 
配置 。 
4. (可 选 ) 配置 集群 优先 级 










































































越 高 当选 为 主 区 换 机 的 可 能 性 越 大 。 缺 省 情况 下 ， 交 换 机 的 集群 优先 级 为 1。 

















在 建立 业务 口 连接 方式 的 集群 时 需要 指定 单 板 上 的 一 个 或 多 个 端口 为 集群 物理 成 员 端口 ， 并 加 入 逻辑 
集群 











连接 方式 下 不 需要 


集群 优先 级 主要 用 于 角色 选举 过 程 中 确定 成 员 交 换 机 的 角色 ， 优 先 级 值 越 大 表示 优先 级 越 高 ， 优 先 级 





5. 《可 选 ) 强制 指定 集群 主 交换 机 

通常 情况 下 ， 集 群 主 交 换 机 是 在 集群 系统 建立 时 两 台 交 换 机 通过 竞争 产生 的 ， 具 有 不 确定 性 。 用 户 可 
以 通过 命令 方式 强制 指定 其 中 某 一 台 交 换 机 作为 集群 系统 的 主 交 换 机 。 但 此 配置 在 交换 机 重启 后 生效 。 

6. 使 能 集群 功能 

关闭 两 台 交 换 机 的 电源 ， 连 接 集 群 中 两 成 员 交 换 机 。 当 采用 集群 卡 连接 方式 时 按照 图 5-14 所 示 的 连 线 
规则 使 用 专门 的 集群 电缆 连接 两 成 员 交 换 机 集群 卡 上 的 各 堆 受 端口 ， 当 采用 业务 口 连接 方式 时 使 用 专用 集 
群 电缆 或 者 光纤 按照 图 5-16 所 示 的 连 线 规则 连接 两 成 员 交 换 机 上 的 各 集群 物理 成 员 端 口 。 然 后 开启 两 交换 
机 的 电源 ， 进 入 系统 后 分 别 使 能 集群 功能 。 然 后 通过 save 用 户 视 图 命令 保存 配置 ， 通 过 rebbot 用 户 视图 命令 
或 者 手工 重启 交换 机 ， 以 使 配置 生效 ， 如 果 没 有 立即 重启 ， 则 本 次 配置 无 效 ， 需 重新 配置 。 

7. (可 选 ) 配置 故障 恢复 时 接口 延 时 Up 功能 
在 交换 机 集群 情况 下 ， 如 果 交 换 机 发 生 故 障 会 导致 集群 端口 和 部 分 业务 口 Down。 当 集群 故障 恢复 后 ， 
Down 的 端口 系统 会 马上 进行 配置 恢复 等 流程 ， 此 时 系统 CPU 一 般 占用 率 很 高 。 为 了 避免 系统 CPU 很 高 时 
影响 正常 的 业务 ， 可 以 配置 接口 延 时 Up 功能 。 
8. (可 选 ) 配置 集群 系统 MAC 地 址 
集群 系统 建立 后 ， 如 果 重 新 启动 ， 或 者 对 主 控 板 拔 插 更 换 操 作 ， 集 群 系统 的 MAC 地 址 可 能 会 发 生变 
化 。 用 户 组 建 集 群 后 ， 如 果 希 望 集群 系统 的 MAC 地 址 保持 不 变 时 ， 可 以 通过 命令 将 集群 系统 MAC 地 址 设 
置 成 某 个 成 员 交 换 机 的 MAC 地 址 ， 使 得 集群 系统 重启 后 的 MAC 地 址 固定 为 此 成 员 交 换 机 的 MAC 地 址 ， 从 
而 尽量 保证 集群 系统 的 MAC 地 址 一 致 。 

当 配 置 的 MAC 与 当前 的 系统 MAC 一 臻 时， 不 需要 重启 交换 机 就 能 生效 ， 否 则 提示 整 机 重启 才能 生 
效 。 

9. (可 选 ) 配置 交换 机 快速 升级 

用 户 可 以 通过 命令 对 集群 系统 进行 版 本 快速 升级 ， 以 节约 升级 交换 机 的 时 间 ， 减 少 因 升级 交换 机 对 
务 带 来 的 影响 。 此 时 ， 与 集群 相连 的 交换 机 使 用 Eth-Trunk 双 归 连 接 方 式 ， 并 且 集 群 Eth-Trunk 配 置 了 本 地 流 
量 优先 转发 ， 否 则 可 能 会 产生 数据 流量 的 中 断 。 
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5.4.3 配置 CSS 集 群 



































本 节 要 依据 上 节 介 绍 的 配置 任务 来 介绍 各 项 配置 任务 下 的 具体 配置 方法 ， 具 体 如 表 5-6 所 示 。 但 要 
两 种 不 同 的 集群 连接 方式 。 





[Xl 
SS 

















表 5-6 CSS 和 集群 的 配置 步 双 


配置 集群 
连接 方式 


System-view 
例如 : <HUAWEI> 
System-view 


进入 系统 视图 











set css id new-id 

[ chassis chassis-id ] 
例如 : [HUAWEJ] 
set css id 2 


set css mode { lpu | 
css-card } 

例如 : [HUAWEH 
set css mode 
css-card 


配置 交换 机 的 集群 ID。 命令 中 的 参数 说 明 如 下 。 

(1) new-id: 指定 生效 后 的 集群 ID， 取 值 为 1 或 2 

(2) chassis-id: 可 选 参数 ， 指 定 要 修改 集群 ID 的 成 员 交 
换 机 当前 集群 ID， 取 值 为 1 或 2 

缺 省 情况 下 ,交换机 的 集群 ID 为 1。 但 如 果 是 在 集群 状 
态 下 配置 ， 且 未 指定 chassis-id 可 选 参数 时 , 则 是 对 主 交 
换 机 进行 集群 ID 修改 

配置 集群 成 员 交 换 机 之 间 的 连接 方式 。 命 令 中 的 选项 说 
明 如 下 : 

(1) lpu: 二 选 一 选项 ， 指 定 交 换 机 采用 业务 口 连接 
方式 

(2) ess-ecard: 二 选 一 选项 ， 指 定 交换 机 采用 集群 卡 连接 
方式 

以 上 两 种 集群 连接 方式 不 兼容 ， 同 一 时 间 只 能 使 用 一 
种 方式 集群 ， 不 支持 动态 切换 。 在 SRUA/SRUB 主 控 
板 环境 下 ， 支 持 两 种 连接 方式 ， 可 进行 自由 选择 ， 但 
在 SRUD 主 控 板 环境 下 ， 只 支持 业务 口 集群 ， 交 换 机 
不 支持 该 命令 

缺 省 情况 下 ， 交 换 机 的 集群 连接 方式 为 集群 卡 连 接 
方式 





| 本村 作 务 | 东 本 | 的 | | 


配置 集群 
端口 ( 仅 采 
用 业务 口 
连接 方式 


时 需要 
配置 ) 


interface css-port 


port-id 


例如 : [HUAWEI] 
interface css-port 
2/1 


port interface 

{ interface-type 
interface-numberl 
[to interface-type 
interface-mumber2 | } 
&<1-10> enable 
[HUAWEI-css- 
port2/1]port 
interface 
Xgigabitethernet 
2/5/0/1 to 2/5/0/3 
enable 


配置 好 辑 集群 端口 ， 并 进入 集群 端口 视图 。 参 数 port-id 
的 格式 为 : 集群 ID/ 喀 辑 集群 端口 号 ， 集 群 ID 和 带 辑 集 
群 端口 号 只 能 为 1 或 2。 只 有 业务 口 方式 连接 的 集群 才 
支持 此 命令 

缺 省 情况 下 ， 交 换 机 未 配置 逻辑 集群 端口 ， 可 用 undo 
interface ess-port 命令 取消 配置 的 逻辑 集群 端口 。 但 在 
取消 某 个 逻辑 集群 端口 前 ， 需 要 先 通过 shutdown 
interface { interface-type interface-mumber! [to interface- 
type interface-number2 ] } &<1-10> 命 令 将 集群 口 下 的 
所 有 集群 物理 成 员 端 口 关闭 。 取 消 某 个 多 辑 集群 端口 
会 删除 该 集群 端口 下 所 有 集群 物理 成 员 端口 ， 如 果 取 
消 了 交换 机 上 的 所 有 的 弛 辑 集群 端口 ， 即 会 造成 集群 
分 裂 

【注意 】 一 个 逻辑 集群 端口 映射 到 一 个 单 板 上 , 不 尤 许 将 
两 个 单 板 上 的 接口 加 入 同一 个 逻辑 集群 口上 ; 一 个 过 辑 
集群 端口 中 的 物理 成 员 端 口 只 能 与 另 一 个 逻辑 集群 端口 
中 的 物理 成 员 端 口 相 连 ， 不 允许 一 个 还 辑 集 群 端口 中 的 
物理 成 员 端 口 同时 与 两 个 过 辑 集 群 端口 中 的 物理 成 员 端 
口 相 连 


配置 业务 口 为 集群 物理 成 员 端口 ， 并 将 集群 物理 成 员 端 
口 加 入 以 上 集群 端口 中 。 只 有 业务 口 方式 连接 的 集群 才 
支持 此 命令 ， 且 一 个 单 板 上 的 端口 只 能 加 入 一 个 逻辑 集 
群 端口 

缺 省 情况 下 ， 接 口 未 配置 为 集群 物理 成 员 端口 ， 可 用 
undo port interface enable 命令 还 原 集群 物理 成 员 端 口 
为 业务 口 

【注意 】 在 添加 集群 物理 成 员 端 口 时 要 注意 以 下 事项 。 
(1) 一 个 集群 物理 成 员 端口 只 能 加 入 一 个 远 辑 集群 
端口 

(2)40GE 端口 拆 分 的 XGE 端口 不 支持 加 入 到 集群 端 
口中 

(3) 同一 个 集群 端口 内 的 集群 物理 成 员 端 口 所 连接 的 对 
奖 业 群 物理 成 员 端 口 也 必须 在 同一 个 集群 端口 内 ， 不 能 
跨 集群 端口 连接 

(4) 还 原 某 集 和 群 物 理 成 员 端 口 为 业务 口 时 ， 震 首先 在 逻辑 
集群 端口 视图 下 执行 shutdown interface { interface-type 
interface-number l[ to interface-type interface-number2] } 
多 <1-10> 命 令 关 闭 此 集群 物理 成 员 端 口 

(5) 在 业务 口 转换 成 集群 物理 成 员 端 口 或 者 集群 物理 成 
员 端 口 转 找 成 业务 口 过 程 中 ， 端 口 有 可 能 产生 CRC 错 
误 。 建议 用 户 先 执行 命令 shutdown 关闭 端口 ， 配 置 完 
成 后 再 执行 undo shutdown 将 端口 恢复 Up 





quit 
例如 ;， [HUAWEI- 
css-port2/1] quit 


退出 集群 端口 视图 ， 返 回 系统 视图 





(可 选 》 
配置 集群 
优先 级 


(可 选 ) 

强制 指定 
集群 主 
交换 机 


set css priority 
priority [ chassis 
chassis-id ] 

例如 : [HUAWEH 
set css priority 100 
chassis | 


css master force 

[ chassis chassis-id ] 
例如 : [HUAWE]] 
€ss master force 
chassis 1 


css enable 
例如 ; [HUAWEI] 


css enable 


配置 交换 机 的 集群 优先 级 ,此 配置 在 交换 机 重启 后 生效 。 
在 两 集群 机 成 员 同 时 启动 的 情况 下 ， 优 先 级 高 的 为 集群 
主 交 换 机 ; 在 两 成 员 交 换 机 的 启动 时 间 差 超过 5s 的 情况 
下 , 先 启动 的 为 集 烙 主 交换 机 . 命令 中 的 参数 说 明 如 下 。 
(1) Priorip': 指定 配置 生效 后 的 集群 优先 级 ， 取 值 范围 
为 1 一 255 的 整数 。 值 越 大 ， 优 先 级 越 高 

(2) chassis-id: 可 选 参数 ， 指 定 要 修改 集群 优先 级 的 成 
员 交 换 机 当前 集群 DD， 取 值 为 1 或 2 

缺 省 情况 下 ， 交 换 机 的 集群 优先 级 为 1。 但 如 果 是 在 集 
群 状态 下 配置 ， 且 未 指定 chassis-id 可 选 参 数 时 , 则 是 对 
主 交 换 机 进行 集群 优先 级 进行 修改 

强制 指定 成 员 交 换 机 为 焦 群 主 交换 机 。 命 令 中 的 可 选 参数 
classis- 这 用 来 指定 要 指定 为 主 交 换 机 的 交换 机 集群 ID， 
取 值 只 能 为 1 或 2， 如 果 不 指定 此 可 选 参数 ， 则 是 在 当前 
主 交 换 机 上 进行 拒 作 。 此 配 贺 在 交换 机 重启 后 生效 
缺 省 情况 下 ， 未 强制 本 机 框 在 集群 系统 中 作为 集群 主 交 
换 机 ， 可 用 undo css master force [ chassis chassis-id ] 命 
令 恢复 缺 省 情况 

使 能 交换 机 的 集群 功能 。 但 在 配置 此 功能 前 必须 按照 相 
应 的 集群 连接 方式 连接 好 两 交换 机 。 此 配 血 完成 后 必须 
立即 重启 使 配置 生效 ， 如 时 没有 立即 重启 ， 则 本 次 配置 
无 效 ， 需 重新 配置 

缺 省 情况 下 ， 交 换 机 的 集群 功能 处 于 未 使 能 状态 ， 可 用 
undo css enable [ all | chassis chassis-id ] 命 令 去 使 能 该 功 
能 - 但 去 使 能 命令 仅 在 集群 使 能 时 可 以 配置 ， 集群 未 使 
能 时 不 可 执行 ， 如 果 选 择 了 二 选 一 可 选项 all， 则 表示 对 
两 成 员 交 换 机 的 集群 功能 同时 去 使 能 。 此 时 如 果 有 一 个 
交换 机 操作 失败 ， 则 两 成 员 交 换 机 者 不 会 去 使 能 





(可 选 》 
配置 故障 
恢复 时 接 
口 延 时 Up 
功能 


ess standby port 
delay time 

例如 : [HUAWEI] 
ess standby port 
delay 360 


set css system-mac 
chassis chassis-id 
例如 : [HUAWED 
Set css system-mac 
chassis | 


配置 集群 故障 恢复 接口 延 时 Up 时 间 ， 取 值 范 围 是 0 一 
3 600s 

在 交换 机 集群 情况 下 ,如果 交换 机 发 生 故 障 , 在 集群 故障 
恢复 后 系统 马上 进行 配置 恢复 等 流程 ， 此 时 系统 CPU 一 
般 占 用 率 很 高 。 为 了 避免 系统 CPU 占用 举 很 高 时 影响 正 
常 的 业务 ， 可 以 通过 本 命令 配置 接口 延 时 Up 功能 

本 命令 为 覆盖 式 命令 , 多 次 执行 后 按 最 后 一 次 配置 生效 ， 
缺 省 情况 下 ， 故 障 恢复 时 接口 延 时 Up 的 时 间 为 08， 即 
故障 恢复 时 接口 不 延 时 Up， 可 用 undo ess standby port 
delay 命令 取消 交换 机 集群 时 故障 恢复 接口 延 时 Up 功能 
设置 集群 系统 的 MAC 地 址 为 指定 集群 ID 的 成 员 交 换 机 
的 MAC 地 址 ,参数 用 来 指定 集群 成 员 交 换 机 的 集群 ID， 
志 值 只 能 是 1 或 2 

【说 明 】〗】 用 户 组 建 集群 系统 后 ， 如 果 和 希望 每 次 集群 重新 启动 
后 系统 MAC 地 址 与 上 一 次 保持 一 臻 时， 可 以 通过 本 命令 将 
集群 系统 MAC 地 址 设置 成 集群 中 某 个 成 员 交 换 机 的 MAC 
地 址 ， 使 得 集群 系统 每 次 重启 后 的 MAC 地 址 为 此 成 员 交 换 
机 的 MAC 地 址 ， 从 而 保证 每 次 重启 后 的 MAC 地 址 一 至 

当 配 置 的 MAC 与 当前 的 系统 MAC 一 致 时 ,不 需要 重启 
交换 机 就 能 生效 ， 否 则 提示 整 机 重启 才能 生效 





说 明 





quit 
例如 : [HUAWEI] 
quit 


退出 系统 视图 ， 返 回 用 户 视图 





startup system- 
(可 选 ) software system-file 
配置 交换 all 
转交 例如 : <HUAWEI> 
负 快速 startup system- 
升级 software basicsoft.ce 
all 


配置 所 有 集群 交换 机 系统 下 次 启动 时 使 用 的 系统 软件 文 

件 名 。 命 令 中 的 参数 和 选项 说 明 如 下 : 

) system-file: 指定 下 次 启动 时 所 使 用 的 系统 软件 文件 
， 格 式 为 : [ drive-name ] [path ] [file-name ]， 为 4 一 

个 字符 ， 不 支持 空格 ， 不 区 分 大 小 写 。 如 果 未 指定 

drive- name， 则 此 值 为 缺 省 的 存储 器 名 。 系统 软 件 必须 以 

“.cc” 作 为 文件 扩展 名 

(2) all: 指定 所 有 集群 成 员 交 换 机 都 将 应 用 本 命令 的 配置 

缺 省 情况 下 ， 没 有 指定 下 次 启动 时 使 用 的 系统 软件 

【注意 】〗 所 指定 的 系统 软件 必须 保存 至 堆 受 系统 中 所 有 主 

控 板 的 cfeard 根 目 录 下 。 可 将 系统 软件 先 上 传 至 主 用 主 


控 板 ,再 执行 copy source-filename destination-filename all 
命令 完 A 复制 

缺 省 情况 下 ， 没 有 指定 下 次 启动 时 使 用 的 系统 软件 ， 可 
用 undo ts system-software system-file all 命令 取消 


下 次 启动 时 使 用 的 系统 软件 文件 名 配置 





css fast upgrade 
<HUAWEI> CSS 
fast upgrade 








对 集群 系统 按照 上 面 指定 的 系统 软件 进行 版 本 快速 升级 。 
用 户 可 通过 本 命令 对 集群 系统 进行 版 本 快速 升级 , 节约 升 
级 交换 机 的 时 间 ， 减 少 因 升级 交换 机 对 业务 带 来 的 影响 





























【示例 1】 设 置 2 号 成 员 交 换 机 上 5 号 槽 位 的 接口 板 上 的 XGigabitEthernet2/5/0/1 接 口 





口 ， 并 加 入 逻辑 集群 端口 2/1。 
<HUAWEI>system-view 
[HUAWEI]| interface css-port 2/1 











[HUAWEI-css-port2/1] port interfacexgigabitethernet 2/5/0/1 enable 
【示例 2】 设 置 下 次 启动 系统 软件 ， 进 行 快速 升级 。 
<HUAWEI> startup System-softwareV200R002C00.cc all 

















<HUAWEI> css fast upgrade 


5.4.4 CSS 和 集群 管理 














为 集群 物理 成 员 端 


配置 好 CSS 集 群 后 ， 在 使 用 过 程 中 可 使 用 以 下 display 任 意 视 图 命令 查看 CSS 相 关 信 息 ， 监 控 集 群 系统 运 




















行 状态 ， 以 保证 系统 运行 正常 ， 并 方便 在 出 现 故 障 时 诊 





4 o 











(1) 使 用 display css status [ saved ] [all | chassis chassis-id ] 命令 查看 系统 的 集群 状态 











换 机 的 集群 IDD、 集群 优先 级 、 集 群 使 能 状态 和 集群 状态 。 











(2) 使 用 display css system-mac 命 令 查看 集 




















群 系统 的 MAC 地 址 。 





E 确 定位 。 使 用 reset 用 户 视图 命令 清除 CSS 相 关 统 计 信 





信息 ， 包 括 成 员 交 





(3) 使 用 display css portport-id 命 令 查 看 集群 卡 方式 集群 的 指定 集群 接口 的 状态 统计 信息 。 参 数 port-id 





























选取 。 











(4) 使 用 display css css-port [ saved ] [all | chassis chassis-id ] 命令 可 查看 业务 口 





集群 物理 成 员 端口 的 配置 信息 。 











(5) 使 用 display css channel [ chassis chassis- 

















(6) 使 用 reset counters css port [port-id ] 命 


用 来 指定 要 查看 状态 统计 信息 的 集群 接口 ， 格 式 为 框 号 / 槽 位 号 / 子 卡 号 /端口 号 ， 取 值 根 和 





浪 









































数 port-id 用 来 指定 集群 接口 编号 ， 格 式 为 框 号 / 档 
指定 则 表示 清除 所 有 集群 接口 的 统计 信息 。 




















5.4.5 集群 卡 连接 方式 CSS 配 置 示例 














交换 机 实际 配置 




















群 的 逻辑 集群 端口 、 





id | all ] 命令 可 查看 集群 链 路 的 连 线 信息 以 及 状态 信息 。 
令 清 除 集群 卡 连接 方式 的 集群 端口 的 状态 


统计 信息 。 可 选 参 


位 号 / 子 卡号 /端口 号 ， 取 值 根据 交换 机 实际 配置 选取 。 若 不 












































在 目前 主流 应 用 的 华为 系列 交换 机 中 ，S7700 和 S9300E 系 列 交换 机 支持 集群 卡 连接 方式 的 CSS 集群 
配置 。 本 示例 就 以 S7700 系列 交换 机 的 集群 卡 连接 方式 为 例 介 绍 CSS 集 群 的 配置 方法 。 在 配置 这 种 CSS 集 群 
功能 之 前 ， 需 要 注意 以 下 事项 。 
(1) 每 台 成 员 交 换 机 上 必须 配置 同类 型 的 SRU 主 控 板 ， 即 都 是 SRUA 或 SRUB， 但 主 控 板 LE02SRUA 
VER.A 和 LE02SRUB VER.A 不 支持 集群 。 

(2) 确认 每 台 成 员 交 换 机 上 每 块 主 控 板 上 都 插入 了 集群 卡 。 

(3) 两 台 成 员 交 换 机 之 间 已 经 用 专用 的 集群 电缆 连接 。 

(4) 两 台 成 员 交 换 机 都 能 够 正常 启动 。 

(5) 两 台 成 员 交 换 机 的 VRP 系统 软件 版 本 一 致 ， 当 主 交换 机 检测 到 备 交 换 机 版 本 与 其 不 一 致 时 ， 会 
将 备 交换 机 版 本 升级 或 回 退 。 

本 示例 拓扑 结构 如 图 5-21 所 示 ，SwitchA 和 SwitchB 组 成 集群 系统 。SwitchC 连 接 用 户 ， 并 通过 Eth- 
Trunk1 连 接 到 集群 系统 。 集 群 系统 通过 Eth-Trunk2 接 入 OSPF 网 络 。 通 过 交换 机 的 集群 功能 增 大 单 台 交换 机 
的 转发 容量 ， 并 可 提供 成 员 交 换 机 间 的 备份 ， 提 高 单 台 交换 机 的 可 靠 性 。 









































































































































































































































网 络 连接 电缆 





SwitchC 
厂 集群 电缆 











图 5-21 集群 卡 连接 方式 的 CSS 集 群 配置 示例 拓扑 结构 




















1. 配置 思路 分 析 

本 示例 没有 特别 的 要 求 ， 只 需要 先 按照 5.3.2 节 图 5-14 所 示 连 线 规则 通过 专门 的 集群 卡 和 集群 电线 
台 S7700 系 列 成 员 交 换 机 的 堆 又 端口 连接 起 来 ， 然 后 配置 CSS 集 群 基本 功能 ， 建 立 CSS 集 群 。 根 据 5.4.2 节 图 
5-22 左 图 所 示 的 集群 卡 连接 方式 CSS 集 群 建立 流程 可 以 得 出 本 示例 的 基本 配置 思路 如 下 。 

(1) 配置 两 成 员 交 换 机 的 集群 ID 和 集群 优先 级 。 

(2) 使 能 两 成 员 交 换 机 的 集群 功能 。 

2. 具体 配置 步 又 

先 设 定 SwitchA 为 集群 主 交换 机 ， 这 样 就 只 需 修 改 SwitchA 的 集群 优先 级 为 大 于 1， SwitchB 的 集群 优先 
级 保持 缺 省 优先 级 1， 修 改 SwitchB 的 集群 ID 为 2，SwitchA 的 集群 ID 保持 缺 省 集群 ID 为 1， 然 后 在 两 成 员 交 换 
机 上 启用 集群 功能 即 可 。 因 为 S7700、S9300E 系 列 交换 机 缺 省 采用 集群 卡 连接 方式 ， 所 以 本 示例 中 无 需 配置 
CSS 集 群 连接 方式 。 下 面 是 具体 的 配置 步 又。 

(1) 配置 SwitchA 的 集群 优先 级 为 200， 并 使 能 CSS 集 群 功能 。 在 启用 集群 功能 时 会 有 确认 提示 ， 键 入 


































































































































































































































































































Y 或 者 y 确 认 后 即 启 用 了 集群 功能 。 配 置 完 成 后 要 立即 保存 配置 ， 然 后 重启 交换 机 使 配置 生效 。 





























<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] set css priority 200 

Info: CSS config has been changed, need reboot to take effect. 

[SwitchA] css enable 

Reboot needed to change CSS config. Are you sure this operation and reboot now?[Y/N]y 
[SwitchA] quit 

< SwitchA >save 

< SwitchA >reboot 


(2) 配置 SwitchB 的 集群 ID 为 2， 并 使 能 CSS 集 群 功能 。 配 置 完成 后 要 立即 保存 配置 ， 然 后 重启 交换 机 






























































使 配置 生效 。 




















<HUAWEI>system-view 

[HUAWEI] sysname SwitchB 

[SwitchB] set css id 2 

Info: CSS config has been changed, need reboot to take effect. 

[SwitchB] css enable 

Reboot needed to change CSS config. Are you sure this operation and reboot now?[Y/N]y 
[SwitchB] quit 

< SwitchB >save 

< SwitchB >reboot 

重启 后 在 主 交换 机 SwitchA 上 通过 display css status 命 令 查 看 两 成 员 交 换 机 上 的 CSS 状 态 ， 验 证 配置 结 












































<SwitchA>display css status chassis 1 


Property Item Property Value 
Frame ID 1 

Priority 255 

Enable switch On 

CSS master force Off 

CSS status master 


<SwitchA>display css status chassis 2 


Property Item Property Value 
Frame ID 2 

Priority 1 

Enable switch On 

CSS master force Off 

CSS status backup 














5.4.6 业务 口 连接 方式 CSS 集 群 配 置 示例 









































在 目前 主流 应 用 的 华为 S$ 系列 交换 机 中 ，S7700、S9300 和 S9700 系 列 交 换 机 都 支持 业务 口 连接 方式 的 



































CSS 集 群 配置 。 本 示例 拓扑 结构 如 图 5-22 所 示 ，SwitchA 和 SwitchB 两 台 交换 机 组 成 集群 系统 ， 两 台 交 换 机 上 
的 普通 业务 口 XGE1/0/1 和 XGE1/0/2 都 加 入 集群 端口 。CSS 和 集群 通过 Eth-Trunk 链 路 与 相连 的 网 络 交 换 机 实现 
跨 交 换 机 的 聚合 链 路 连接 。 




































































SwitchC SS SwitchD 





CSS Link 
Common Link 


< 一 一 ”Eth-Trunk 








图 5-22 业务 口 连接 方式 CSS 集 群 配置 示例 拓扑 结构 




















1. 配置 思路 分 析 

本 示例 只 是 最 基本 的 CSS 集 群 建立 配置 ， 没 有 特别 的 要 求 。 先 按照 5.3.2 节 图 5-16 所 示 连 线 规则 通过 专门 
的 集群 电线 或 者 SPF+ 光 纤 将 两 台 S700 系 列 成 员 交 换 机 的 集群 物理 成 员 端 口 连 接 起 来 ， 然 后 配置 CSS 集 群 基 
本 功能 ， 建 立 CSS 集 群 。 根 据 5.4.2 节 图 5-20 右 图 所 示 的 业务 口 连接 方式 CSS 集 群 建立 流程 可 以 得 出 本 示例 的 
基本 配置 思路 如 下 。 

(1) 分 别 配置 两 成 员 交 换 机 的 CSS 集 群 连接 方式 为 业务 口 连接 方式 。 

(2) 分 别 配 置 两 成 员 交 换 机 的 集群 ID 和 集群 优先 级 。 

(3) 配置 集群 端口 ， 并 在 集群 端口 中 加 入 示例 中 所 指定 的 两 个 物理 成 员 端 口 ， 以 增加 集群 链 路 的 带宽 
和 可 靠 性 。 

(4) 使 能 两 成 员 交 换 机 的 CSS 功 能 ， 保 存 配置 ， 并 重启 交换 机 ， 以 使 配置 生效 。 

2. 有 具体 配置 步骤 

先 设 定 SwitchA 为 集群 主 交 换 机 ， 这 样 一 来 就 只 需 修改 SwitchA 的 集群 优先 级 为 大 于 1，SwitchB 的 集群 
优先 级 保持 缺 省 优先 级 1; 修改 SwitchB 的 集群 ID 为 2，SwitchA 的 集群 ID 保持 缺 省 集群 ID 为 1， 然 后 在 两 成 员 
交换 机 上 配置 业务 口 集 群 连接 方式 ， 向 集群 端口 中 添加 示例 中 指定 的 两 个 物理 成 员 端 口 ， 并 启用 集群 功能 
即 可 。 

(1) 配置 SwitchA 的 集群 优先 级 为 200， 集 群 连 接 方式 为 业务 口 连接 方式 。 

<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] set css priority 200 



























































































































































































































































































































































[SwitchA] set css mode lpu 
(2) 配置 SwitchB 的 集群 ID 为 2， 集 群 连接 方式 为 业务 口 连 接 方 式 。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] set css id 2 
































中 各 





咖 





命 





Warning: Modifying the CSS chassis ID will cause interface configuration loss, a 
re you sure this operation? [Y/N]:y 


[SwitchB] set css mode lpu 





(3) 在 两 成 员 交 换 机 上 配置 逻辑 集群 端口 〈 两 交换 机 的 集群 端口 号 分 别 为 1 和 2/1) ， 并 在 集 杂 









































添加 XGELO1 一 XGEL10/2 这 两 个 成 员 物理 端口 。 
[SwitchA] interface css-port 1/1 














中 








[SwitchA-css-port1/1] port interfacexgigabitethernet 1/0/1 to xgigabitethernet 1/0/2 enable 


[SwitchB] interface css-port 2/1 


[SwitchB-css-port2/1] port interfacexgigabitethernet 1/0/1 to xgigabitethernet 1/0/2 enable 
































应 口 











(4) 在 两 台 交 换 机 上 分 别 使 能 集群 功能 ， 并 分 别 使 用 save 用 户 视图 命令 保存 配置 ， 使 用 rebbot 用 户 视 




















令 重 启 两 交换 机 ， 使 配置 生效 。 























TGNy 





[SwitchA] css enable 

Warning: The CSS configuration takes effect only after the System is rebooted. 工 
he next CSS mode is lpu. Reboot now? [Y/N]:y 

[SwitchA] quit 

< SwitchA >save 

< SwitchA >rebbot 

[SwitchB | css enable 

Warning: The CSS configuration takes effect only after the system is rebooted. T 
he next CSS mode is lpu. Reboot now? [Y/N]:y 

[SwitchB] quit 

< SwitchB >save 


< SwitchB >rebbot 








(5) 两 交换 机 重启 后 ， 在 主 交 换 机 SwitchA 上 通过 display css status 命 令 查 看 两 成 员 交 换 机 上 的 CSS 状 





























通过 display css channel 命 令 查 看 集群 端口 连 线 信息 ， 验 证 配置 结果 。 


<SwitchA>display css status all 









































Property Item Property Value 
Chassis ID 1 

Priority 200 

Enable switch On 

CSS master force Off 

CSS status master 

CSS mode lpu 
Property Item Property Value 
Chassis ID 2 
Priority 100 
Enable switch On 

CSS master force Off 
CSS status backup 


CSS mode lpu 


<SwitchA>display css channel 


Chassis 1 Chassis 2 








Num [Css-port] [LpuPort] | [LpuPort] [Css-port] 
1 1/1 XGigabitEthermet1l/1/0/1 XGigabitEthernet2/1/0/1 2/1 
2 1/1 XGigabitEthernet1l/1/0/2 XGigabitEthernet2/1/0/2 2/1 











Ul 


5.4.7 CSS 和 集群 直 连 方式 DAD 配 置 示例 























当 集 群 链 路 发 生 故 障 导 致 集群 分 裂 时 ， 网 络 中 存在 两 个 配置 冲突 的 集群 系统 ， 需 要 启用 双 主 检测 功 

能 ， 减 少 集群 分 裂 给 网 络 带 来 的 影响 。 本 示例 介绍 的 是 直 连 方式 双 主 检测 的 配置 方法 。 

本 示例 拓扑 结构 如 图 5-23 所 示 ，SwitchA 和 SwitchB 组 成 集群 系统 ，SwitchA 的 集群 ID 为 1，SwitchB 的 
群 ID 为 2。 配 置 集群 系统 的 接口 GigabitEthemet1/1/0/5 和 GigabitEthernet2/1/0/5 直 连 检测 方式 的 DAD 功 
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图 5-23 直 连 方式 双 主 检测 配置 示例 拓扑 结构 

































































直 连 方式 双 主 检测 的 配置 方法 很 简单 ， 只 需 在 两 台 集 群 成 员 交 换 机 中 直接 连接 用 于 双 主 检测 的 端口 
(本 示例 分 别 为 GigabitEthernet1/1/0/5 和 GigabitEthernet2/1/0/5 端 口 ) 上 启用 直 连 方式 双 主 检测 功能 即 可 。 具 
体 配置 方法 如 下 。 
(1) 在 SwitchA 上 配置 接口 GigabitEthernetl/1/0/5 采 用 直 连 检测 方式 的 DAD 功 能 。 
<HUAWEI>system-view 
[HUAWEI] interfacegigabitethernet 1/1/0/5 
[HUAWEI-GigabitEthernet1/1/0/5] mad detect mode direct 


Warning: This command will block the port, and no other configuration running on 





















































this port is recommended. Continue?[Y/N]:y 
(2) 在 SwitchB 上 配置 接口 GigabitEthernet2/1/0/5 采用 直 连 检测 方式 的 DAD 功 能。 
<HUAWEI>system-view 
[HUAWEI] interfacegigabitethernet 2/1/0/5 
[HUAWEI-GigabitEthernet2/1/0/5] mad detect mode direct 


Warning: This command will block the port, and no other configuration running on 






























































this port is recommended. Continue?[Y/N]:y 
可 通过 display mad verbose 命 令 查 看 集群 系统 DAD 详 细 配 置信 息 。 
<HUAWEI>display mad verbose 
Current DAD status: Detect 
Mad direct detect interfaces configured: 
GigabitEthernet1/1/0/5 
GigabitEthernet2/1/0/5 


Mad relay detect interfaces configured: 








Excluded ports(configurable): 
Excluded ports(can not be configured): 





5.4.8 CSS 集 群 Relay 代 理 方 式 DAD 配 置 示例 











本 示例 拓扑 结构 如 图 5-24 所 示 ，SwitchA 和 SwitchB 组 成 集群 系统 ，SwitchA 和 SwitchB 通 过 Eth-Trunk 


不 


接口 与 上 、 下 游 交 换 机 相连 。 配 置 SwitchC 作 为 DAD 代 理 交 换 机 ，Eth-Trunk1 为 集群 与 5witchC 之 间 连 接 使 用 


|_、 


的 接口 ， 采 用 Relay 代 理 方式 实现 双 主 检测 。 
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5-24 CSS 集 群 Relay 代 理 方式 双 主 检测 配置 示例 拓扑 结构 
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Relay 代 理 方式 双 主 检测 的 配置 方法 是 先 配 置 集群 系统 与 代理 交换 机 SwitchC 相 连 的 Eth-Trunk 接 口 
上 分 别 启 用 Relay 代 理 检 测 方 式 DAD 功 能 。 下 面 是 具体 的 配置 步 又 。 
(1) 在 集群 交换 机 上 配置 Eth-Trunk1 接 口 ， 并 使 能 Relay 代 理 方式 双 主 检测 功能 (需要 在 集群 主 交换 机 
上 配置 ) 。 

<HUAWEI>system-view 

[HUAWEI]| interface eth-trunk1 

[HUAWEI-Eth-Trunk1] trunkport gigabitethernet 1/5/0/1 

[HUAWEI-Eth-Trunk1] trunkport gigabitethernet 2/5/0/1 


[HUAWEI-Eth-Trunk1] mad detect mode relay 
(2) 在 代理 交换 机 SwitchC 上 配置 Eth-Trunk1 接 口 ， 并 使 能 Relay 代 理 方式 双 主 检测 功能 。 
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<HUAWEI>system-view 
[HUAWEI] sysname SwitchC 





[SwitchC] interface eth-trunk 1 
[SwitchC-Eth-Trunk1] trunkport gigabitethernet 1/0/1 
[SwitchC-Eth-Trunk1] trunkport gigabitethernet 1/0/2 
[SwitchC-Eth-Trunk1] mad relay 











配置 完成 后 在 任意 视图 下 可 通过 display mad verbose 命令 在 集群 主机 上 查看 集 
信息， 验证 配置 结 





















































通过 display mad proxy 命令 在 代理 交换 机 SwitchC 
































上 碍 看 代 到 














群 双 主 检测 详细 配置 信 









































<HUAWEI>display mad verbose 

Current DAD status: Detect 

Mad direct detect interfaces configured: 

Mad relay detect interfaces configured: 
Eth-Trunk 1 

Excluded ports(configurable): 

Excluded ports(can not be configured): 

<SwitchC>display mad proxy 

Mad relay interfaces configured: 
Eth-Trunk1 


果 。 





























第 6 童 ”基本 VLAN 特 性 配置 与 管理 

















6.1 VLAN 基 础 
6.2 基于 端口 划分 VLAN 
6.3 基于 MAC 地 址 划分 VLAN 
6.4 基于 子 网 划分 VLAN 
6.5 基于 协议 划分 VLAN 
6.6 基于 策略 划分 VLAN 
6.7 VLAN 配 置 管理 和 典型 故障 分 析 与 排除 
6.8 GVRP 配 置 与 管理 
6.9VLAN 间 通信 配置 与 管理 
6.10 管理 VLAN 的 配置 与 管理 
说 到 交换 机 技术 ， 相 信 大 家 都 会 立即 联想 起 交换 机 中 最 重要 ， 也 是 最 常用 的 一 项 技术 一 一 
VLAN (Virtual Local Area Network， 虚 拟 局 域 网 ) 。 从 其 名 称 就 可 以 看 出 ， 它 也 是 一 项 局 域 网 CLAN ) 技 
术 ， 但 它 是 一 项 构建 虚拟 局 域 网 的 技术 ， 与 物理 交换 机 构建 的 物理 局 域 网 相对 。 它 也 是 在 物理 局 域 网 基础 
之 上 构建 的 。 
VLAN 说 起 来 简单 ， 可 真正 要 掌握 并 灵活 应 用 它 并 不 那么 容易 ， 因 为 它 不 仅 包括 了 像 基于 端口 、 基 于 
MAC 地 址 、 基 于 子 网 、 基 于 协议 和 基于 策略 等 几 种 VLAN 划 分 方式 ，VLAN 自 动 注册 (GVRP) 、VLANIF 
接口 、 管 理 VYLAN、VLAN 间 路 由 通信 等 基本 特性 ， 又 涉及 许多 VLAN 扩 展 特性 及 应 用 ， 如 VLAN 聚 合 
(Super-VLAN) 、VLAN 内 用 户 隔 离 (MUX VLAN) 、VLAN 了 映射 (VLAN Mapping) 、VLAN 多 标签 封装 
(QinQ) 等 。 本 章 先 对 以 上 这 些 基 本 VLAN 特 性 的 配置 与 管理 进行 介绍 ， 下 章 将 具体 介绍 VLAN 的 一 些 扩展 
特性 配置 与 管理 。 
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6.1VLAN 茶 妊 








VLAN “虚拟 局 域 网 ) 是 可 以 将 一 个 物理 LAN 逻 辑 上 划分 成 多 个 虚拟 LAN 的 以 太 网 技术 。VLAN 划分 
多 个 虚拟 LAN 的 目的 就 是 要 缩小 广播 域 (一 个 “广播 域 " 就 是 一 个 LAN 网 段 ， 即 广播 数据 帧 可 以 到 达 的 节 
点 范围 ) ， 减 小 广播 数据 帧 对 LAN 内 用 户 通 信和 的 影响 。 因 为 一 个 广播 数据 帧 会 在 整个 LAN 内 各 个 节点 泛 洪 
发 送 的 ， 其 流量 非常 大 ， 所 占用 的 带宽 资源 也 非常 多 。 但 广播 数据 帧 只 能 在 一 个 LAN 中 广播 ， 属 于 二 
信 ， 不 能 通过 路 由 设备 跨 网 自传 输 (但 可 以 通过 一 些 代理 设备 实现 跨 网 段 转发 ， 如 ARP 代理 ) ， 所 以 上 
要 把 一 个 大 的 物理 LAN 划分 成 多 个 小 的 虚拟 LAN 就 可 以 实现 缩小 广播 域 的 目的 ， 这 就 是 VLAN 技 术 产 9 
的 背景 。 

说 明 
在 LAN 通 信 中 有 许多 通信 都 会 产生 广播 数据 帧 的 ， 如 ARP 在 MAC 地 址 寻 址 时 会 产生 广播 数据 帧 、 
DHCP 服 务 器 在 为 客户 端 自 动 分 配 耳 地 址 时 也 会 产生 许多 广播 数据 帧 。 还 有 许多 病毒 也 会 产生 许多 广播 数据 
帧 。 
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6.1.1 VLAN 概 述 


























最 终 形成 的 VLAN 技 术 标 准 IEEE 802.1Q 是 于 1999 年 6 月 由 IEEE 委 员 会 正式 颁布 实施 的 。 随 着 20 多 年 














来 的 发 展 ，VLAN 技术 得 到 广泛 的 支持 ， 在 大 大 小 小 的 企业 网 络 中 广泛 应 用 ， 成 为 当前 最 主要 的 一 种 以 太 
局 域 网 技术 。 
VLAN 主要 用 来 解决 如 何 将 大 型 网 络 划 分 为 多 个 小 网 络 ， 隔 离 原本 在 同一 个 物理 LAN 中 的 不 同 主机 间 
的 三 层 通 信 (在 物理 LAN 中 ， 各 主机 是 可 以 直接 通过 网 络 体系 结构 中 的 第 三 层 ， 即 数据 链 路 层 进行 通信 
的 ， 但 划分 VLAN 后 ， 不 同 VLAN 中 的 主机 是 不 可 以 直接 通过 第 二 层 进行 通信 和 的， 必须 通过 第 三 层 ， 即 网 
络 层 ) ， 以 使 广播 流量 不 会 占据 更 多 带宽 资源 (因为 广播 数据 帧 每 复制 传播 一 次 都 需要 消耗 一 定 的 带宽 和 
系统 资源 ) ， 同 时 也 提高 网 段 间 的 安全 性 ， 因 为 广播 域 缩小 了 ， 广 播 风暴 产生 的 可 能 性 也 大 大 降低 了 。 基 
为 传统 共享 介质 的 以 太 网 和 交换 式 以 太 网 中 ， 所 有 的 用 户 在 同一 个 广播 域 中 《〈 即 在 同一 个 LAN 中 ) 。 
虽然 在 交换 式 网 络 中 相对 以 集线器 为 集中 设备 的 共享 式 网 络 来 说 缩小 了 冲突 域 〈 共 享 同 一 传输 介质 的 
节点 范围 ) ， 同 时 在 非 全 交换 全 双 工 模式 的 以 太 网 络 中 通过 CSMA/CD (Carrier Sense Multiple 
Access/Collision Detection， 载 波 侦 听 多 路 访问 / 冲突 检测 〉 技 术 提 供 了 冲突 避免 解决 方案 ， 但 依然 没有 解 
决 缩小 广播 域 的 问题 。LAN 内 的 广播 数据 帧 仍然 可 以 在 整个 LAN 内 广播 ， 会 引起 网 络 性 能 的 下 降 ， 浪 费 宝 
贵 的 带宽 资源 ， 影响 随 着 广播 域 的 增 大 而 迅速 增强 。 此 时 唯一 有 效 的 途经 就 是 重新 划分 LAN， 把 单一 
结构 的 大 LAN 划 分 成 相互 逻辑 独立 的 小 型 虚拟 LAN， 这 就 是 VLAN 技 术 产 生 的 背景 。 
注意 
但 在 这 里 不 得 不 说 明 的 是 ，VLAN 的 技术 基础 还 是 基于 以 网 桥 或 交换 机 为 集中 设备 的 交换 式 网 络 ， 在 以 
前 以 集线器 为 集中 设备 的 共享 式 网 络 中 VLAN 标签 是 不 能 识别 的 ， 因 为 在 集线器 的 共享 网 络 中 数据 帧 都 是 
以 复制 方式 广播 的 。 只 有 在 交换 式 网 络 中 才 可 能 针对 具体 的 目的 地 址 、VLAN 标 签 进 行 数据 转发 。 
通过 将 物理 LAN 划 分 为 多 个 虚拟 的 VLAN 网 段 ， 不 仅 可 以 控制 不 必要 的 广播 数据 帧 传输 ， 还 可 以 强化 
网 络 管理 和 网 络 安全 。 而 且 VLAN 的 划分 可 以 突破 用 户主 机 地 理 位 置 的 限制 ， 即 不 论 用 户主 机 实际 上 是 与 网 
络 中 哪个 物理 交换 机 连接 ， 也 不 管 它 们 所 在 网 络 中 的 物理 位 置 如 何 ， 都 可 以 把 它们 放 进 同一 个 虚拟 的 用 户 
组 一 一 VLAN 中 。 相 对 于 物理 LAN 来 说 具有 更 好 的 划分 灵活 性 ， 因 为 网 络 管理 员 完 全 可 以 根据 实际 应 用 或 
管理 需求 把 位 于 同一 物理 LAN 内 的 不 同 用 户 逻 辑 地 划分 成 不 同 的 VLAN， 而 不 管 这 些 用 户 所 处 的 物理 位 
置 ， 连 接 的 是 哪个 交换 机 。 
图 6-1 所 示 为 一 个 对 分 布 在 各 楼 层 的 交换 机 划分 不 同 VLAN 的 示例 。 示 例 中 每 个 VLAN 中 的 成 员 都 分 
布 在 不 同 楼 层 ， 而 不 像 物理 划分 那样 仅 在 一 个 楼 层 或 者 一 个 部 门 。 所 划分 的 每 个 VLAN 相 当 于 一 个 小 的 独立 
二 层 交 换 网 络 ， 也 就 是 一 个 小 的 广播 域 。 这 样 每 个 VLAN 中 的 广播 包 就 只 在 本 地 VLAN 中 广播 ， 而 不 会 传输 
到 其 他 的 VLAN 中 去 ， 其 影响 范围 和 程度 自然 就 会 大 大 降低 。 同 时 如 果 没 有 通过 三 层 设备 的 话 ， 不 同 
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VLAN 之 间 不 能 直接 相互 通信 ， 这 样 加 强 了 企业 网 络 中 不 同 部 门 之 间 的 安全 性 。 
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6.1.2 理 





解 
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的 配置 与 使 用 中 ， 
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了 ， 网 络 管理 员 可 按照 不 同上 























许多 读者 朋友 3 














VLAN 路 由 、 桥 接 故 障 时 

















1. 同一 物理 交换 机 














无 法 理解 。 
中 的 VLAN 形 成 
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理解 VLAN 























将 在 下 节 有 具体 介绍 ) 直 
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其 实 只 要 和 























比较 好 理解 了 ， 因 为 虚拟 交换 机 与 物理 交换 机 
物理 连接 ， 只 有 逻辑 连接 的 不 同 物理 交换 机 一 相 
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间 就 像 永 远 不 可 能 有 





的 形成 原理 关键 就 
说 是 逻辑 LAN， 并 不 是 一 个 物理 LAN。 
连接 的 交换 机 上 上 
个 VLAN 可 以 理解 为 一 个 个 虚拟 交换 机 。 图 
有 逻辑 连接 关系 的 虚拟 交换 机 。 
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的 规则 进行 VLAN 划 分 ， 
没有 真正 了 解 
下 面 介绍 VLAN 的 


通过 不 同 的 划分 规则 ( 


1 VLAN 划 分 示例 
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成 原理 。 


























Switch 


1 VLAN3 | 











交换 机 中 划分 的 多 个 VLAN 
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VLANS : 
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有 许多 相同 的 基本 属 ! 




















肯定 是 不 能 直接 相互 通信 











和 的， 即使 这 些 不 同 VLAN 中 的 

















] 户 的 实际 物理 位 置 。 但 在 
EE， 导致 在 出 现 一 些 VLAN 配置 和 














解 “虚拟 ”这 两 个 字 。“ 虚 拟 ” 表 示 VLAN 所 组 成 的 是 一 个 虚拟 ， 或 者 
人体 要 依据 不 同 的 VLAN 划分 方式 而 定 ， 

的 各 个 用 户主 机 划分 到 不 同 的 VLAN 中 ， 同 一 个 交换 机 中 划分 的 各 
6-2 所 示 的 物理 交换 机 中 就 划分 了 5 个 VLAN， 相 当 于 有 5 个 相互 


一 个 VLAN 看 成 一 台 交 换 机 (只 不 过 它 是 逻辑 意义 上 的 虚拟 交换 机 ) ， 以 前 许多 问题 就 
。 同 一 物理 交换 机 





F 的 不 同 VLAN 之 








# 。 既然 没有 物理 连接 ， 那 不 同 VLAN 











成 员 都 处 于 同 




















信和 是 隔离 了 的 ， 只 能 通过 更 高 的 三 层 进 行 相互 通信 。 但 
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的 ) ， 



































位 于 同一 VLAN 中 的 端口 成 员 就 术 

















换 机 来 处 理 。 如 同 
把 属于 同一 网 段 的 节点 蕊 
肯定 可 以 相互 
机 
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是 属于 不 同 IP 
或 者 网 关 配 置 
2. 不 同 物 理 交 换 机 




































































网 段 ， 则 相当 于 











当 于 同一 物理 交换 机 上 的 端 
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一 卫 网 段 ， 因 为 不 同 VLAN 间 的 二 层 通 
这 里 有 一 个 必须 的 条 件 ， 就 是 这 些 不 同 



































分 到 同一 VLANT 






































中 的 VLAN 








因为 一 个 VLANT 
中 的 不 同 交 换 机 上 ， 这 档 





成 员 计算 机 不 是 依据 成 员 的 物理 位 置 来 划分 
f 才 更 显示 出 VLAN 切 分 的 灵活 性 和 实用 怕 


























时 交换机， 这 就 是 VLAN 的 ! 

















6-3 就 不 





继 (Trunk) 功能 。 
要 从 逻辑 的 VLAN 角 度 来 看 待 了 。 图 
1、VLAN 2、VLAN 3、VLAN 4 和 VLAN 5) 仪 存在 逻辑 连接 关系 ， 但 两 台 物 理 


VLAN 中 的 各 成 员 计算 机 可 以 属于 同一 个 IP 网 段 ， 也 可 以 届 





交换 机 上 ， 如 果 同 处 于 一 个 IP 网 段 的 不 同 VLAN 位 于 不 同 交 换 机 上 ， 则 又 会 有 
具体 将 在 本 节 后 面 介绍 。 























成 员 一 样 ， 不 同情 况 仍 可 以 按照 物理 交 

















。 如 果 VLAN 的 各 成 员 计算 机 都 
通信 ， 就 像 同一 物理 交换 机 上 连接 同一 网 段 的 各 计算 机 一 样 ， 但 如 果 同 一 VLAN 中 的 成 员 计 算 
台 物 理 交 换 机 上 连接 处 于 不 同 网 段 的 主机 用 户 一 档 
来 实现 相互 通信 了 ， 即 使 它们 位 于 同一 个 VLAN 中 。 
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巴 它 当 成 两 台 物 理 交 

















昌 于 不 同 卫 网 段 ， 但 通常 是 


个 IP 网 段 ， 则 没什么 ， 


上 7 办 


肯定 得 通过 路 


的 ， 所 以 这 些 成 员 计 算 机 通常 连接 在 网 络 
E。 也 就 是 说 一 个 VLAN 可 以 跨越 多 台 物 























交换 








交换 机 来 看 待 
换 机 ， 而 是 把 它 








户主 机 的 分 布 了 ， 
当成 是 五 台 (VLAN 
机 中 相同 的 VLAN 间 





















































有 相互 物理 连接 关系 (就 是 两 台 物 理 交换 机 间 的 物理 连接 ) 的 虚拟 交换 机 了 。 通 常情 况 下 (有 特殊 情况 ， 
具体 在 下 一 段 介绍 ) ， 这 五 个 VLAN 间 的 用 户 是 二 层 隔 离 的 ， 也 就 是 不 能 直接 互通 ， 仅 可 以 通过 网 络 体系 结 
构 中 的 第 三 层 〈《 网 络 层 ) 实现 互通 。 







































































Switch 1 Switch 2 




















图 6-3 不 同 物理 交换 机 上 的 相同 VLAN 















































在 同一 物理 交换 机 上 不 可 能 存在 两 个 相同 的 VLAN， 而 在 不 同 交换 机 上 可 以 有 相同 的 VLAN， 而 且 这 些 
不 同 物理 交换 机 上 的 相同 VLAN 间 一 般 情况 下 是 可 以 直接 互 访 的 ， 当 然 这 得 要 求 它们 都 位 于 同一 个 IP 网 
段 ， 且 在 物理 交换 机 连接 的 端口 上 允许 这 些 VLAN 数 据 包 通过 。 不 仅 如 此 ， 如 果 位 于 不 同 交换 机 上 的 两 个 
不 同 VLAN 处 于 同一 个 IP 网 段 ， 且 交换 机 间 连 接 的 两 个 端口 是 分 别 隶 属 通 信 双 方 VYLAN 的 Access 端 口 ， 或 
者 不 带 VLAN 标 签 的 Hybrid 端 口 ， 则 这 两 个 VLAN 间 也 是 可 以 直接 通信 的 。 这 就 涉及 Access、Trunk 和 Hybrid 
这 三 种 最 基本 的 二 层 端 口 的 属性 和 数据 收 、 发 规则 了 ， 具 体 将 在 本 章 后 面 介绍 具体 二 层 端口 类 型 时 再 进行 


介绍 。 





















































































































































【经 验 之 谈 】 这 里 要 区 分 “VLAN 中 继 ” 和 “中 继 端口 ?这 两 个 概念 。VLAN 中 继 是 指 在 一 台 交 换 机 上 的 
VLAN 配 置信 息 可 以 传播 、 复 制 到 网 络 中 相连 的 其 他 交换 机 上 ， 在 华为 交换 机 上 采用 的 是 GVRP (GARP 
VLAN Registration Protocol，GARP VLAN 注 册 协 议 ) 的 VLAN 上 自动 注册 功能 来 实现 的 ， 而 Trunk (中 继 ) 端 
口 则 是 指 在 一 个 交换 机 端口 允许 一 个 或 多 个 VLAN 通信 到 达 网 络 中 相连 的 另 一 台 交 换 机 上 相同 的 VLAN 
中 。 这 是 两 个 不 同 的 概念 。 有 关 GVRP 的 VLAN 注 册 功 能 及 配置 方法 将 在 本 章 6.8 节 具体 介绍 。 
















































































6.1.3 VLAN 标 签 























前 面 说 了 VLAN 是 二 层 协 议 ， 对 应 于 IEEE 802.1q 标 准 。 这 样 一 来 ， 在 二 层 的 数据 帧 中 会 打上 所 属 
VLAN 的 标签 ， 这 就 是 IEEE 802.1q 标 签 Tag) ， 也 就 是 通常 所 说 的 VLAN 标 签 。 
1. 传统 以 太 网 帧 格式 
传统 的 以 太 网 数据 帧 中 没有 VLAN 标 签 ， 其 帧 格式 如 图 6-4 所 示 。 各 字段 说 明 如 下 。 
































7 1 6 6 2 38~1500 4 bytes 











图 6-4 传统 以 太 网 帧 格式 











(1) 前 导 。 前 导 (Preamble) 字段 占 7 个 字 节 ， 由 1 和 0 交互 构成 《如 10101010...) ， 用 于 使 PLS 物理 
层 信号 ) 子 层 电路 与 收 到 的 帧 达到 时 钟 同步 。 

(2) 帧 起 始 。 帧 起 始 〈Start-of-Frame Delimiter，SFD) 字段 占 1 个 字 节 ， 前 6 位 也 是 1 和 0 交互 构成 ， 最 
后 两 位 是 连续 的 1， 即 10101011， 表 示 一 个 帧 的 开始 。 前 导 码 的 作用 是 使 接收 端 能 根据 *1”、“*0? 交 互 的 比特 
模式 迅速 实现 比特 同步 ， 当 检测 到 连续 两 位 “1”〈 即 读 到 帧 起 始 定 界 符 字 段 SFED 最 末 两 位 ) 时 ， 便 将 后 续 的 
信息 递交 给 MAC 子 层 。 

说 明 










































































在 以 上 两 个 字段 中 ， 早 期 的 Intel 和 Xerox 公 司 开 发 的 以 太 网 标准 中 是 把 SFD 字 段 并 入 了 Pre 字 段 中 ， 所 以 








那 时 的 MAC 帧 格式 中 没有 SFD 字 段 。 只 有 后 面 由 IEEE 发 布 的 以 太 网 标准 中 才 出 现 了 SFD 字 段 。 但 Pre 和 SFD 














这 两 个 字段 只 是 用 来 提醒 接收 端 新 的 一 帧 到 来 了 ， 并 不 计 入 MAC 帧 大 小 中 。 

(3) 目的 MAC 地 址 / 源 MAC 地 址 。 目 的 MAC 地 址 (Destination Address，DA) 和 源 MAC 地 址 〈Source 
Addresses，SA) 字段 各 占 6 个 字 节 ， 分 别 用 于 标识 接收 站 点 的 MAC 地 址 和 发 送 站 点 的 MAC 地 址 。 它 们 可 以 
是 单 播 MAC 地 址 ， 也 可 以 是 组 播 地址 或 广播 MAC 地 址 。 地 址 字段 最 高 位 为 “0 表示 单 播 MAC 地 址 ， 仅 指定 








Er 




































































候 
网 络 上 某 个 特定 站 点 ， 地 址 字段 最 高 位 为 “41”、 其 余 位 不 为 全 “1” 表 示 组 播 MAC 地 址 ， 指 定 网 络 上 给 定 的 多 
个 站 点 ; 地 址 字段 为 全 “1”， 则 表示 广播 MAC 地 址 ， 指 定 网 络 上 所 有 的 站 点 。 

间 














(4) 长 度 / 类 型 。“ 长 度 /类 型 ”(LengthMType) 字段 是 一 个 二 选 一 字段 ， 也 就 是 对 具体 的 以 太 帧 来 说 ， 
它 的 含义 不 一 样 ， 占 两 个 字 节 。 在 Ethernet I 和 Ethernet II 以 太 网 由 中， 该 字段 为 “类 型 ”(Type) 字段 ， 指 出 
帧 中 “数据 ”字段 中 的 数据 类 型 ， 总 大 于 1536《〈 对 应 的 十 六 进 制 为 x600) ; 如 果 是 IEEE 802.3〈 包 括 
Ethernet 802.3 raw、Ethernet 802.3 SAP、802.3/802.2 LLC 和 802.3/802.2 SNAP) 以 太 网 帧 ， 则 该 字段 为 “长 
度 ”(Length)〉 字段 ， 值 总 小 于 或 等 于 1500《〈 对 应 的 十 六 进 制 为 5DC) 。 在 IEEE 802.3 以 太 网 由 中, “ 数 




















说 明 















































据 ” 字 段 的 长 度 为 38 一 1 500 个 字 节 。 





上 面 的 DA、SA 和 Length/Type 这 三 个 字段 组 成 MAC 帧 头 部 。Pre 和 SFD 这 两 个 字段 通常 不 认为 是 MAC 











帧 头 部 的 组 成 部 分 。 
(5) Data。 














“数据 * (Data〉 字 段 对 于 不 同 的 以 太 网 帧 所 包括 的 内 容 也 不 一 样 ， 对 于 Ethernet I、Ethernet 








I 和 Ethernet 802.3 raw 以 太 网 帧 ， 它 就 是 从 网 络 层 来 的 数据 包 ; 而 对 于 Ethernet 802.3 SAP、802.3/802.2 LLC 
和 802.3/802.2 SNAP 以 太 网 帧 ， 则 是 LLC 帧 全 部 内 容 ， 包 括 LLC 帧 头 和 来 自 网 络 层 的 数据 包 。 也 正如 














此 , “数据 字段 ”长度 范围 也 各 不 一 样 ， 具 体 如 下 。 






































e Ethernet I[、Ethernet II 帧 “数据 字段 "长度 范 围 为 46~~1 500 个 字 节 。 


e Ethernet 802.3 raw 帧 “数据 字段 "长度 范 围 为 4 一 1498 个 字 节 。 























e Fthernet 802.3 SAP 和 802.3/802.2 LLC 帧 “数据 字段 ?长度 范围 为 43 一 1 497 个 字 节 。 
e Ethernet 802.2 SNAP 帧 “数据 字段 "长 度 范围 为 38 一 1 492 个 字 节 。 


























整体 而 言 ， 


长 为 1518 个 字 节 (不 包括 “前 导 ” 字 段 和 “ 帧 起 始 字 段 ”) ， 如 果 不 够 64 个 字 节 时 ， 要 在 "数据 ?字段 中 加 上 


PAD 填 充 字 上 段 。 


en 
壮 忌 


这 里 所 说 的 38 一 1 500 个 字 节 长 度 是 在 没有 经 过 IEEE 802.1q VLAN 协 议 重 封装 时 的 长 度 范 目 




















该 字段 长 度 范 围 为 38 一 1 500 个 字 节 。 但 无 论 怎样 ， 总 的 MAC 帧 长 度 最 小 为 64 个 字 节 ， 最 









































ey 








， 如 果 封 装 























了 VLAN 协 议 ， 则 因为 VLAN 标 签 占 用 了 4 个 字 节 ， 所 以 就 整个 以 太 网 帧 来 说 , “数据 ?字段 的 取 值 范围 就 为 
34 一 1 500 个 字 节 。 有 关 IEEE 802.1q VLAN 协 议 将 在 本 章 后 面具 体 介绍 。 
(6) Frame Check Seqdquence。“ 帧 校 验 序 列 ”(FCS) 字段 占 4 个 字 节 ， 包 括 32 位 的 循环 元 余 校 验 





CCRC) 值 ， 由 
























































发 送 端 对 MAC 帧 自 DA 字段 到 Data 字 段 间 〈 不 包括 Pre 和 SFD 这 两 个 字段 ) 的 二 进 制 序列 生成 

















校 验 和 ， 然 后 通 




















过 接收 端 对 所 接收 的 帧 的 以 上 部 分 重新 计算 ， 看 两 次 校 验 的 结果 是 否 一 样 即 可 以 得 出 所 检 








验 的 帧 在 传输 过 程 中 是 否 已 被 破坏 。 





2. 802.1q 


怖 格式 











IEEE 802.1q 是 虚拟 桥接 局 域 网 的 正式 标准 ， 对 传统 的 Ethernet 帧 格式 进行 了 修改 ， 在 “ 源 MAC 地 址 ”字段 
和 “长 度 /类 型 ”字段 之 间 插 入 了 一 个 4 字 节 的 “802.1q Tag” 字 段 。 而 这 个 “802.1g Tag” 字 段 又 包括 了 TPID、 
PRI、CFI 和 VLAN ID 四 个 子 字段 ， 如 图 6-5 所 示 。 

















7 1 6 6 4 2 38~1500 4 bytes 











图 6-5 802.1q 帧 格式 





“802.1q Tag” 字 段 所 包括 的 4 个 子 字段 的 说 明 如 下 。 
(1) TPID: “Tag Protocol Identifier”( 标 签 协 议 标 识 符 〉 字段， 占 两 个 字 节 〈16 位 ) ， 表 明 这 是 一 个 添 
加 了 IEEE 802.1q 标 签 的 帧 〈 区 别 于 未 加 VLAN 标 签 的 帧 ) ， 值 固定 为 0x8100 (表示 封装 了 IEEE 802.1q 
VLAN 协 议 ) 。 如 果 不 支持 802.1q 的 设备 《如 用 户主 机 、 打 印 机 等 终端 设备 就 不 支持 ) 收 到 这 样 的 帧 ， 就 会 
将 其 丢弃 。 
(2) PRI: Priority (优先 级 ) 字段 ， 占 3 位 ， 表 示 0 一 7 八 个 优先 级 〈 值 越 大 ， 优 先 级 越 高 ) ， 主 要 用 于 
交换 机 阻塞 时 ， 优 先 发 送 哪个 数据 帧 ， 也 就 是 QoS 服务 质量 ) 的 应 用 ， 是 在 802.1p 规 范 中 被 详细 定义 
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(3) CFI: “Canonical Format Idicator”〈 标 准 格 式 指示 器 ) 字段 ， 占 1 位 ， 用 来 兼容 以 太 网 和 令 牌 环 
网 。 用 来 标识 MAC 地 址 在 传输 介质 中 是 否 以 标准 格式 进行 封装 ， 取 值 为 0 表示 MAC 地 址 以 标准 格式 封装 ， 
为 1 表示 以 非 标准 格式 封装 ， 缺 省 取 值 为 0， 在 以 太 网 中 该 值 总 为 0， 表 示 以 标准 格式 封装 MAC 地 址 。 

【经 验 之 谈 】 在 这 里 要 介绍 一 个 绝 大 多 数 图 书 和 文章 都 没有 介绍 的 问题 ， 那 就 是 什么 是 “标准 格式 
MAC 地 址 ?， 什 么 是 “ 非 标准 格式 MAC 地 址 ?。 其 实 ， 以 太 网 (IEEE 802.3) 和 令 牌 总 线 网 (IEEE 802.4) 在 
传输 介质 中 发 送 MAC 地 址 字 节 的 顺序 是 从 低 到 高 〈 也 就 是 我 们 平时 写 MAC 地 址 格式 中 的 从 右 到 左 顺序 ) ， 
而 令 牌 环 网 (IEEE 802.5) 和 IEEE 802.6 标 准 中 MAC 地 址 字 节 在 传输 介绍 中 的 发 送 顺 序 则 相反 ， 是 从 高 到 低 
的 顺序 。MAC 地 址 字 节 的 发 送 顺序 也 对 应 MAC 地 址 字 节 的 封装 顺序 ， 把 IEEE 802.3 和 IFEEE 802.4 标 准 中 的 
MAC 地 址 封装 顺序 称 之 为 “标准 格式 ”(canonical form) ， 而 把 IEEE 802.5 和 IEEE 802.6 标 准 中 的 MAC 地 址 
封装 顺序 称 之 为 “ 非 标 准 格式 ”(non-canonical form) 。 例 如 一 个 MAC 地 址 为 12-34-56-78-9A-BC， 以 标准 格 
式 发 送 时 ， 则 它 的 比特 次 序 为 01001000 00101100 01101010 00011110 01011001 00111101， 但 是 以 非 标准 格 
式 发 送 时 ， 它 的 比特 次 序 是 00010010 00110100 01010110 01111000 10011010 10111100 注意， 比较 每 个 字 
节 可 以 发 现 ， 它 与 前 面 的 标准 格式 是 次 序 相反 的 〉。 

(4) VID: “VLAN Identified”(VLAN 标 识 ) 字段 ， 占 12 位 ， 指 明 VLAN 的 ID， 取 值 范围 为 0 一 4 
095， 共 4 096 个 ， 但 由 于 0 和 4 095 为 协议 保留 取 值 ， 所 以 VLAN ID 的 实际 有 效 取 值 范围 是 1 一 4 094。 每 个 
进入 支持 802.1q 协 议 的 交换 机 发 送出 来 的 数据 包 都 会 包含 这 个 域 ， 以 指明 自己 属于 哪 一 个 VLAN。 




















































































































































































































































































































6.1.4 主要 VLAN 特 性 及 产品 支持 














目前 华为 交换 机 中 所 支持 的 VLAN 特 性 主要 包括 VLAN 划 分 、VLAN 注 册 、VLAN 间 通 信 、VLAN 育 
合 、MUX VLAN、VLAN 了 映射 、Voice VLAN、 管 理 VLAN。 当 然 并 不 是 所 有 型 号 交换 机 都 支持 以 上 全 部 的 
VLAN 特性 ， 有 具体 将 在 下 面 说 明 。 在 此 仅 简 单 地 介绍 这 些 VLAN 主要 特性 ， 因 为 这 些 特性 的 具体 配置 与 应 
用 将 在 本 章 或 下 章 全 面 介绍 。 
1. VLAN 划 分 
要 使 用 VLAN 技 术 ， 首 先 就 要 创建 所 需 的 VLAN， 然 后 把 各 用 户 计算 机 划分 到 这 些 不 同 的 VLAN 中 ， 这 
就 是 VLAN 划 分 特性 。 
























































































































































VLAN 最 基本 的 配置 是 划分 VLAN，VLAN 划分 成 功 后 即 可 实现 不 同 VLAN 内 用 户 的 二 层 隔 离 ， 达 到 
缩小 广播 域 的 目的 。 华 为 交换 机 可 支持 以 下 5 种 VLAN 划分 方式 ;基于 端口 划分 、 基 于 MAC 地 址 划分 、 基 
于 子 网 划分 、 基 于 协议 划分 、 基 于 策略 划分 。 

在 以 上 这 5 种 VLAN 划 分 方式 中 又 可 归 总 为 “静态 VLAN 划 分 "和 “动态 VLAN 划 分 ”两 大 类 。 所 谓 “ 静 态 

VLAN 划分 ”方式 就 是 指 连接 用 户 的 交换 机 端口 被 固定 地 划分 到 一 个 特定 的 VLAN 中 。 所 支持 的 VLAN 划 分 
方式 只 有 “基于 端口 划分 ”方式 。 而 “动态 VLAN 划分 ”方式 中 连接 用 户 计算 机 的 端口 不 是 固定 地 划分 到 某 一 
特定 VLAN 中 ， 而 是 根据 用 户主 机 的 MAC 地 址 、IP 地 址 、 网 络 层 协 议 或 者 MAC 地 址 +IP 地 址 或 + 交换 机 端口 
的 组 合 策略 来 灵活 地 加 入 到 不 同 的 VLAN 中 。 除 了 “基于 端口 划分 ”方式 外 的 其 他 4 种 VLAN 划 分 方式 都 是 属 
于 这 种 类 型 。 但 无 论 是 静态 VLAN 划 分 方式 ， 还 是 动态 VLAN 划 分 方式 所 划分 的 VLAN 均 属于 静态 VLAN。 
在 本 章 后 面 6.8 节 介绍 的 ， 通 过 GVRP (GARP VLAN 注 册 协 议 ) 协议 动态 注册 的 VLAN 属 于 动态 VLAN。 

以 上 5 种 VLAN 划 分 方式 的 划分 方法 说 明 、 主 要 优 缺 点 、 应 用 场景 及 华为 S 系 列 交 换 机 产品 的 支持 情况 
如 表 6-1 所 示 。 





































































































































































































表 6-1 各 种 VLAN 划 分 方式 的 比较 





VLAN 华为 交换 
a 划分 方法 优点 缺点 。 | 应 用 场景 | 机 的 支持 
根据 用 户 所 连 的 三 层 端口 (不 
能 是 三 层 端口 ) 进行 划分 。 网 
络 管理 员 给 交换 机 的 每 个 二 





配置 不 够 灵 


活 ， 当 VLAN 
刁 端 口 配置 不 同 的 PVID(Port 中 的 a l. | 
Default VLAN ID， 端 口 缺 省 连接 的 端口 
VLAN ID)， 即 一 个 端口 缺 省 发 生变 化 时 除 S1700 系 





属于 的 VLAN 1 要 计 程 简 | 者 亚 重新 本 | 活 - 基 | 列 非 网 管 
当 一 个 数据 帧 进入 交换 机 端 | 配置 过 程 简 | 需要 重新 配 | 适用 于 规 | 型 交换 机 





基于 = | 单 ， 是 最 常用 | 置 VLAN。 | 模 大 、 安全 ET 
才 ， 如 果 没 有 带 未 A a. RS ， 其 他 月 

端口 划分 | 口 时 ， 如 果 没 有 带 VLAN 标 | 的 VLAN 划 | 这 对 于 拥有 | 需求 不 高 | 外 , 其 他 所 
签 , 则 该 数据 帧 就 会 被 打上 端 | 分 方式 众多 移动 用 | 的 场景 中 有 华为 S 

口 的 PVID， 如 果 进入 的 帧 已 | “7” | 系列 交换 

经 带 有 VLAN 标签 ， 那 么 交 机 都 支持 


说 ， 网 络 管 
理 者 将 会 花 
费 更 多 的 时 





负 机 不 会 再 增加 VLAN 标签 ， 
即使 端口 已 经 配置 了 PVID 




















对 VLAN 帧 的 收 、 发 处 理由 | | wp 

井 行 维护 
: 层 端 口 类 型 决定 , 具体 将 在 间 进 行 维 
R 节 介绍 





( 续 表 ) 


VLAN 
划分 方式 


缺点 


华为 交换 
机 的 支持 





基于 
MAC 
地 址 划分 


根据 用 户主 机 网 卡 MAC 地 址 
进行 划分 。 网 络 管理 员 需 事先 
配置 MAC 地 址 和 VLAN ID 
映射 关系 表 , 如 果 交 换 机 收 到 
的 是 Untagged (不 带 VLAN 
标签 ) 帧 ， 则 依据 该 映射 表 在 
帧 中 添加 对 应 的 VLAN ID 


用 户 在 变换 物 
理 位 置 时 ， 不 
需要 重新 划分 
VLAN。 提 高 
了 终端 用 户 的 
安全 性 和 接 入 
的 灵活 性 


网 络 管 理 者 
需要 事先 将 
归属 到 指定 
VLAN 的 终 
设 备 
MAC 地 址 
配置 到 交换 
机 上 。 这 对 
拥有 大 量 终 
端的 网 络 来 
说 ， 和 初始 配 
置 时 ， 配 置 


工作 量 较 大 


端 


适用 于 安 
全 和 移动 
性 需求 较 
高 的 场景 
中 


除 S1700 系 
列 非 网 管 
型 交换 机 、 
S2700-SI、 
S2710-SI 
系列 交换 
机 外 的 其 
他 所 有 华 
为 系列 交 
换 机 





基于 
于 网 划分 


根据 用 户主 机 网 卡 IP 地 址 所 
在 IP 网 段 进行 划分 。 网 络 管 
理 员 需 事先 配置 卫 地 址 和 
VLAN ID 映射 关系 表 ， 如 果 
交换 机 收 到 的 是 Untagged 帧 ， 
则 依据 该 映射 表 在 帧 中 添加 
对 应 的 VLAN ID 


基于 子 网 划分 
VLAN 和 基于 
协议 划分 
VLAN 统称 为 
基于 网 络 层 划 
分 VLAN。 基 





基于 
协议 划分 


根据 用 户主 机 运行 的 网 络 层 
协议 类 型 进行 划分 。 网 络 管理 
员 需 要 事先 配置 以 太 网 帧 中 
的 “协议 ”字段 和 “VLAN ID” 
字段 的 映射 关系 表 , 如 果 交 换 
机 收 到 的 是 Untagged 帧 ， 见 
依据 该 映射 表 在 帧 中 添加 对 
应 的 VLAN ID 





于 网 络 层 划分 
VLAN， 不 但 
大 大 减少 了 人 
工 配置 VLAN 
的 工作 量 ， 同 
时 保证 了 用 户 
自由 地 增加 、 

移动 和 修改 


交换 机 需要 
解析 源 了 
地 址 并 进行 
相应 转换 ， 

导致 交换 机 
响应 速度 慢 


适用 于 对 
安全 需求 
不 高 , 对 移 
动 性 和 简 
易 管理 需 
求 较 高 的 
场景 中 





交换 机 需要 
分 析 各 种 协 
议 的 地 址 格 
式 并 进行 相 
应 转换 ， 层 
致 交换 机 响 
应 速度 惕 


目前 支持 
AppleTalk、 
IPv4、IPv6、 
ipx 等 网 络 
层 协 议 划 
分 VLAN 





基于 
策略 划分 
VLAN 


说 明 
如 果 




















从 以 上 顺序 可 以 看 出 ， 



































根据 用 户 安全 策略 进行 划 
分 。 主 要 包括 基于 MAC 地 址 
+IP 地 址 组 合 策 略 和 基于 
MAC 地 址 +IP 地 址 + 端口 丝 
合 策略 两 种 

只 有 符合 条 件 的 终端 才能 困 
入 指定 VLAN 符合 策略 的 终 
端 加 入 指定 VLAN 后 ， 严 禁 
修改 耳 地 址 或 MAC 地址 , 否 
则 会 导致 终端 从 指定 VLAN 
中 退出 



































安全 性 非常 
高 ， 可 禁止 用 
户 改 变 了 下 地址 
或 MAC 地 址 。 
相 较 于 其 他 
VLAN 划分 方 
式 ， 基 于 策略 
划 分 VLAN 
是 优先 级 最 高 
的 VLAN 划 
分 方式 














针对 每 一 条 
策略 都 需要 
手工 配置 ， 
在 VLAN 较 
多 时 工作 量 
很 大 


交换 机 上 同时 配置 了 以 上 多 种 方式 划分 的 VLAN， 则 对 于 上 
的 优先 级 顺序 采用 最 终 的 VLAN 划分 方式 : 基于 匹配 策 
网 划分 VLAN -基于 协议 划分 VLAN -基于 端口 划分 VLAN。 

基于 MAC 地 址 划分 VLAN 和 基于 子 网 划分 VLAN 村 









































在 本 章 6.3 节 和 6.4 节 具体 介绍 。 


2. VLAN 间 通信 
前 

















又 需要 不 同 VLAN 中 的 用 户 进行 通 


的 优先 级 “S5700LI 和 S5700S-LI 不 支持 )， 从 而 使 同时 满足 这 两 利 
VLAN 划 分 方式 。 另 外 ， 虽 然 基于 端口 划分 VLAN 的 优 4 
配 策略 划分 VLAN 的 优先 级 最 高 ， 但 是 最 不 常 ) 
有 关 以 上 这 五 种 YLAN 划 分 方式 的 配置 方法 将 在 本 章 6.2 一 6.6 节 介绍 ， 有 关 VLAN 划 分 优先 级 的 配置 将 
































而 说 了 ， 一 般 情 况 下 不 同 VLAN 是 不 能 直接 进行 通信 的 ， 


























VLANIF 接 口 方案 、 三 层 以 太 网 子 接口 方案 和 VLAN Switch (VLAN 交 村 
前 两 种 是 通过 网 络 体系 结构 中 的 第 三 层 
指向 所 属 VLAN 的 VLANIF 接 











言 ， 为 此 华为 $ 系 丈 











\ 体 


划分 方式 的 ) 


适用 于 规 
模 小 , 且 对 
安全 和 移 
动 性 需求 




















除 S1700、 
S2700 系列 
外 的 其 他 
所 有 华为 S 
系列 交换 
机 
































的 用 户主 机 来 说 将 按 以 下 从 高 到 低 
各 划分 VLAN 基于 MAC 地 址 划分 VLAN 和 基于 子 





有 相同 的 优先 级 ， 缺 省 情况 
下 优先 基于 MAC 地 址 划分 VLAN。 但 是 可 以 通过 命令 改变 基于 MAC 地 址 划分 VLAN 和 基于 子 网 划分 VLAN 


























户主 机 决定 优先 采 | 





的 
































E 级 最 低 ， 但 是 最 常 / 
的 VLAN 划 分 方式 ， 因 为 配 














喘 ) 方案 。 








的 VLAN 划分 方式 ， 基 于 匹 
置 复杂 。 


因为 VLAN 间 缺 省 是 二 层 隔 离 的 。 但 有 时 
| 交换 机 提供 了 3 种 实现 VLAN 间 通信 的 解决 方案 : 三 层 





网 络 层 功能 来 实现 的 ， 通 过 在 各 VLAN 中 的 用 户主 机 中 配置 














口 或 者 对 应 的 三 层 以 太 网 子 接口 的 耳 地 址 作为 网 关 ， 然 后 利用 三 层 交 换 机 的 



































卫 路 由 功能 实现 交换 机 内 部 不 同 VLAN 间 的 三 层 互 通 ， 或 者 利用 其 他 路 由 功能 在 YLAN 间 实现 三 层 互通 。 最 




















后 的 VLAN Switch 方案 是 通过 VLAN 标 签 替 换 方 法 来 实现 的 。 















































本 项 VLAN 特 性 中 的 三 层 VLANIF 接 口 方案 ， 除 了 S1700 系 列 外 的 其 他 所 有 华为 $ 系 列 交 换 机 均 支 持 ， 而 


























三 层 以 太 网 子 接口 方案 和 VLAN Switch 方 案 仅 在 S7700、S9300、S9300E 和 S9700 等 高 端 系 列 交 换 机 中 支持 



































(S5700HI 和 S5710EI 系 列 交 换 机 虽然 也 支持 三 层 以 太 网 子 接口 ， 但 不 能 为 子 接口 配置 IP 地 址 ) 。 有 关 


























VLAN 间 的 通信 原理 和 具体 的 配置 方法 将 在 本 章 6.9 节 介绍 。 
3. 管理 VLAN 














































































































管理 VLAN 是 一 种 特殊 的 VLAN， 是 专门 用 来 为 用 户 提供 远程 设备 管理 (通过 管 


Yt 


里 VLANIF 的 IP 地 址 》 




































































的 VLAN， 其 中 只 有 管理 流 《〈 也 就 是 进行 各 项 网 络 管理 的 数据 流 ) 而 无 业务 流 《〈“ 即 用 户 的 网 络 应 用 数据 






































流 ) ， 所 以 在 管理 YLAN 中 不 能 有 业务 用 户主 机 。 





















































本 项 VLAN 特 性 除了 S1700 系 列 外 的 其 他 所 有 华为 S 系 列 交 换 机 均 支 持 。 有 关 管 理 VLAN 的 配置 将 在 本 章 








6.10 节 介绍 。 
4. VLAN 聚 合 
VLAN 聚 合 (VLAN aggregation)〉 就 是 通常 所 说 的 Super VLAN 技 术 。 它 是 帮 























E 一 个 主 VLAN 下 包括 多 个 同 


一 个 IP 网 段 的 从 VLAN， 但 只 需要 为 主 VLANIF 接 口 配置 IP 地 址 ， 各 从 VLAN 中 的 用 户主 机 可 以 主 VLAN 的 
VLANIF 接 口 的 IP 地 址 作为 缺 省 网 关 实现 三 层 互 通 。 很 显然 它 是 为 了 解决 传统 VLAN 中 要 实现 不 同 VLAN 






































间 相 互通 信 必 须 为 每 个 VLANIF 接 口 配 置 一 个 IP 地 址 ， 造 成 一 定 程度 上 IP 地 址 资 
现 不 同 VLAN 间 的 相互 通信 的 目的 。 









































源 浪费 的 问题 ， 同 时 又 可 实 





本 项 VLAN 特 性 除了 S1700 系 列 和 S2700SI 系 列 之 外 的 其 他 所 有 华为 5 系列 交换 机 均 支 持 。 有 关 VLAN 聚 





























合 的 工作 原理 和 具体 的 配置 方法 将 在 下 章 介 绍 。 
5. MUX VLAN 













































































MUXVLAN 是 一 种 可 实现 在 VLAN 内 部 各 成 员 间 二 层 隔离 的 技术 。 传 统 VLAN 仅 隔离 不 同 VLAN 中 用 户 





的 二 层 通 信 ， 同 一 VLAN 内 的 各 用 户 是 可 以 直接 进行 二 层 通信 的 。 但 有 时 又 希望 在 VLAN 内 部 的 茶 个 成 员 
《如 存在 不 安全 因素 的 用 户主 机 ， 或 者 需要 特别 保护 的 主机 ， 如 某 些 服务 器 ， 或 者 个 别 用 户 的 计算 机 等 ) 
与 其 他 成 员 进 行 隔 离 ， 这 时 就 可 以 采用 MUX VLAN 技 术 来 实现 ， 主 要 是 想 达 到 安全 保护 ， 或 者 用 户 授权 的 



































的 。 
本 项 VLAN 特 性 除了 S1700、S2700 系 列 之 外 的 其 他 所 有 华为 S 系 列 交 换 机 均 

工作 原理 和 有 具体 的 配置 方法 也 将 在 下 章 介绍 。 

6. VLAN 了 映射 























































































































支持 。 有 关 MUX VLAN 的 

















传统 的 VLAN 技 术 可 有 效 地 控制 广播 域 范围 、 隔 离 不 同 VLAN 中 用 户 间 的 二 层 通信 。 但 是 由 于 一 些 低 端 
交换 机 不 支持 全 范围 〈1 一 4 094) 的 VLAN ID， 而 是 类 似 1 一 512 的 有 限 范 围 ， 而 且 还 有 一 些 VLAN ID 被 保 








































































































VLAN ID 和 运营 商 VLAN ID 之 间 相 互 转换 的 VLAN 技 术 一 一 VLAN 映 射 (VLAN 














留 ， 这 样 一 来 就 可 能 导致 用 户 网 络 中 的 VLAN ID 与 公 网 VLAN ID 冲 突 。 于 是 就 产生 了 一 种 可 以 实现 在 用 户 

















Mapping) 。VLAN 了 映射 通 























过 蔡 换 数据 帧 中 的 VLAN 标 签 来 实现 用 户 VLAN 与 运营 商 VLAN 的 相互 映射 ， 使 用 户 业 务 按照 运营 商 的 网 络 





规划 进行 传输 。 





本 项 VLAN 特 性 除 S1700、S2700SI 系 列 之 外 其 他 华为 所 有 S 系 列 交 换 机 都 支持 ， 但 有 些 机 型 不 支持 全 部 
的 VLAN 映射 方式 。 有 关 VLAN 映射 的 工作 原理 、 具 体 的 配置 方法 和 华为 交换 机 对 各 映射 方式 的 支持 将 在 









































下 章 介 绍 。 


7. Voice VLAN 





Voice VLAN (语音 VLAN) 是 相对 传统 数据 VLAN 而 言 的 ， 它 是 针对 不 同类 型 














ve 























的 用 户 话音 流 进行 划分 











的 ， 并 能 自 














动 修改 话音 数据 帧 的 优先 级 ， 以 提高 话音 数据 的 传输 质量 。 














本 项 VLAN 特 性 除了 S1700 非 网 管 型 系列 和 S2700SI 系 列 外 的 其 他 所 有 华为 $ 系 列 交换 机 均 支 持 。 因 为 
Voice VLAN 相 对 比较 少 用 ， 故 本 书 不 作 具 体 介绍 。 


8. VLAN 透 传 


VLAN 



















































































透 传 特性 可 以 使 交换 机 直接 透明 传输 指定 VLAN 内 的 数据 帧 ， 不 上 送 CPU 处 理 ， 也 就 不 用 去 识 























别 数据 帧 中 的 VLAN 标 签 ， 从 而 提高 了 转发 效率 。 

本 项 VLAN 特 性 在 S5710EI、S5700HI、S6700、S7700、S9300 和 S9700 系 列 华为 交换 机 中 均 支 持 。 具 体 
也 将 在 下 章 介 绍 。 

9. QinQ 





QinQ (802.1Q-in-802.1Q) 协议 是 基于 IEEE 802.1Q 技 术 的 一 种 二 层 隧 道 协议 。 在 公 网 中 传递 的 帧 一 般 
有 两 层 802.1Q 标 签 〈 一 个 公 网 VLAN 标 签 ， 一 个 私 网 VLAN 标 签 ) 。QinQ 的 核心 思想 是 将 用 户 私 网 VLAN 标 





签 封装 在 公 
种 较为 简单 

本 特性 
一 样 ， 有 具体 



































网 VLAN 标 签 中 ， 这 样 报 文 带 着 两 层 VLAN 标 签 穿越 网 络 运营 商 的 骨干 网 络 ， 从 而 为 用 户 提 供 一 
的 二 层 VPN 隧 道 。 
除 S1700 系 列 交换 机 外 ， 其 他 所 有 华为 系列 交换 机 均 支 持 ， 当 然 不 同系 列 所 文 持 的 功能 不 完 
也 将 在 下 章 介绍 。 











情 








6.2 基于 端口 划分 VLAN 











基于 端 











口 VLAN 划分 方式 是 最 常用 ， 也 是 最 简单 的 VLAN 划分 方式 ， 是 把 交换 机 端口 静态 地 划分 到 某 














一 个 或 多 个 
仅 可 以 把 二 
换 机 中 的 以 
章 。 下 面 绍 

















6.2.1 二 层 以 太 网 端口 



































体 的 VLAN 中 ， 是 一 种 静态 VLAN 划分 方式 。 但 要 注意 的 是 ， 因 为 VLAN 是 二 层 协议 ， 所 以 
层 以 太 网 端口 (包括 物理 以 太 网 端口 和 Eth-Trunk 聚 合 链 路 口 ) 划 分 到 VLAN 中 。 虽 然 华 为 交 
太 网 端口 可 以 转换 成 三 层 模式 ， 但 仍 不 能 直接 配置 IP 地 址 ， 有 关 以 太 网 端口 配置 参见 本 书 第 4 
S 系 列 交换 机 中 的 二 层 以 太 网 端口 类 型 。 










































































在 华为 
端口 。 在 本 











交换 机 中 主要 包括 Access (访问 ) 、Trunk (干道 ) 和 Hybrid (混合 )、QinQ 这 4 种 二 层 以 太 网 
节 介 绍 的 基于 端口 VLAN 划 分 方式 中 可 以 把 前 3 种 二 层 交 换 机 以 太 网 端口 加 入 特定 的 VLAN 中 ， 





















































但 是 其 他 所 有 VLAN 划 分 方式 都 只 能 添加 Hybrid 类 型 端口 。QinQ 端 口 仅 用 于 支持 QinQ 协 议 ， 不 能 用 于 








VLAN 划 分 。 


1. 二 层 以 太 网 端口 类 型 
具体 介绍 华为 交换 机 的 Access、Trunk、Hybrid 和 QinQ 这 4 种 二 层 以 太 网 端口 的 基本 特性 和 数据 
收 、 发 规则 。 
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(1) Access 端 口 。Access 端 口 主要 是 用 来 连接 用 户主 机 的 三 层 以 太 网 端口 。 它 有 一 种 最 主要 的 特性 是 
仅 允 许 一 个 VLAN 的 帧 通过 ， 反 过 来 也 就 是 Access 端 口 仅 可 以 加 入 一 个 VLAN 中 ， 且 Access 端 口 发 送 的 以 太 


网 帧 永远 是 Untagged (不 带 标 签 ) 的 






























































(2) Trunk 端 口 。Trunk 端 口 是 用 来 连接 与 其 他 交换 机 的 二 层 以 太 网 端口 。 它 的 最 主要 特性 是 允许 多 
个 VLAN 的 帧 通过 ， 并 且 所 发 送 的 以 太 网 帧 都 是 带 标签 的 ， 除 了 发 送 VLAN ID 与 PVID (Port Default VLAN 


ID， 端 口 缺 




















省 VLAN ID) 一 致 的 VLAN 帧 。 


























(3) Hybrid 端 口 。Hybrid 端 口 可 以 说 是 以 上 Access 端 口 和 Trunk 端 口 的 混合 体 ， 它 们 具有 共同 的 特性 ， 





是 一 种 特殊 
























































的 二 层 以 太 网 端口 。 正 因 如 此 ，Hybrid 端 口 既 可 以 连接 用 户主 机 ， 又 可 以 连接 其 他 交换 机 、 路 
































器 设备 。 同 时 Hybrid 端口 又 允许 一 个 或 多 个 VLAN 的 帧 通过 ， 并 可 选择 以 带 标签 或 者 不 带 标签 的 方式 
发 送 数据 帧 。 
(4) QinQ 端 口 
QinQ 端 口 是 专 用 于 QinQ 协 议 的 二 层 以 太 网 端口 。 它 可 以 给 数据 帧 加 上 双 层 VLAN 标 签 ， 即 在 原来 标 
签 的 基础 上 ， 给 帧 加 上 一 个 新 的 标签 ， 从 而 可 以 支持 多 达 4 094x4 094 个 VLAN， 满 足 企业 用 户 网 络 对 VLAN 
数量 更 高 的 需求 。S1700 和 S2700SI 不 支持 QinQ 类 型 端口 。 
【经 验 之 谈 】 虽然 从 理论 上 讲 交 换 机 与 交换 机 、 交 换 机 与 路 由 器 连接 之 间 的 链 路 也 可 以 是 Access 类 
型 的 ， 但 在 实际 的 组 网 应 用 中 通常 是 带 标签 类 型 的 ， 可 以 是 Trunk 类 型 ， 也 可 以 是 带 标签 的 Hybird 类 型 。 
一 方面 是 因为 不 同 网 络 设备 间 的 通信 通常 是 包含 多 个 VLAN 间 的 通信 ， 而 Access 类 型 端口 仅 允 许 一 个 VLAN 
的 数据 通过 ， 肯 定 不 行 ， 另 一 方面 ，Access 类 型 和 不 带 标签 的 Hybrid 类 型 在 发 送 数据 时 是 不 带 标签 的 ， 这 样 
来 ， 对 端 设备 接口 接收 到 来 自 本 端 设备 任何 VLAN 的 数据 后 都 将 打上 该 接口 的 PVID 所 对 应 的 VLAN 标 
签 ， 并且 被 错误 地 转发 到 该 VLAN 中 ， 这 显然 不 符合 实际 需求 ， 最 终 造成 无 法 正常 通信 。 
另外 ， 对 于 连接 用 户 PC 机 、 服 务 器 主机 或 者 傻瓜 式 二 层 交 换 机 设备 的 端口 仅 可 以 是 Access 类 型 或 才 
带 标签 的 Hybrid 类 型 ， 因 为 这 些 设备 不 能 识别 带 有 VLAN 标 签 的 数据 帧 ， 而 这 两 种 类 型 端口 在 发 送 数据 时 正 
好 是 不 带 VLAN 标 签 的。 傻瓜 式 二 层 交 换 机 设备 所 连接 的 所 有 设备 都 将 加 入 到 对 端 交 换 机 端口 所 加 入 的 一 个 
VLAN 中 。 
2. 二 层 以 太 网 端口 的 缺 省 VLAN 
以 上 Access、Trunk 和 Hybrid 三 种 类 型 二 层 以 太 网 端口 都 可 以 配置 一 个 缺 省 VLAN， 对 应 的 VLAN ID 为 
PVID。 但 端口 类 型 不 同 ， 其 缺 省 VLAN 的 含义 也 有 所 不 同 。Aceess 端 口 的 缺 省 VLAN 就 是 Access 端口 所 加 
入 的 VLAN， 因 为 Aceess 端口 只 能 加 入 一 个 YLAN。 但 Trunk 和 Hybrid 端口 的 缺 省 VLAN 需 要 通过 命令 配置 
间 定 ， 因 为 它们 都 相当 于 加 入 了 多 个 VLAN， 缺 省 都 是 YLAN1。 有 关 缺 省 YLAN 的 具体 配置 方法 将 在 本 章 
后 面 介绍 Trunk 和 Hybrid 端口 配置 时 会 有 所 体现 。 
3， 二 层 以 太 网 端口 的 数据 收发 规则 
以 上 Access、Trunk 和 Hybrid 三 种 类 型 二 层 以 太 网 端口 在 接收 和 发 送 数据 帧 时 对 帧 的 处 理 规则 也 是 不 同 
的 ， 而 这 些 规则 直接 影响 着 数据 通信 的 成 败 ， 一 定 要 记 住 。 具 体 如 表 6-2 所 示 。 
【经 验 之 谈 】 这 里 所 说 的 数据 帧 “ 收 * 是 指 交 换 机 端口 接收 从 对 端 设 备 发 来 的 数据 帧 ， 而 不 是 接收 从 
交换 机 内 部 的 另 一 个 端口 发 来 的 数据 帧 ， 因 为 在 交换 机 内 部 传输 的 数据 帧 都 是 带 有 VLAN 标 签 的 ， 无 论 是 
从 哪 种 交换 机 端口 发 来 的 数据 帧 。 同 理 ， 这 里 所 说 的 数据 帧 “发 ”是 指 从 交换 机 端口 向 对 端 设 备 发 送 数据 帧 
j 不 是 指 本 地 交换 机 中 一 个 端口 向 另 一 个 交换 机 端口 发 送 数据 帧 。 这 一 点 要 特别 注意 ， 和 否则 很 难 理解 这 
端口 的 数据 接收 、 发 送 规则 。 
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表 6-2 二 层 以 太 网 端口 数据 帧 处 理 规 则 





【 


端口 
类 型 





接收 该 帧 ， 并 打上 
该 端口 所 加 入 VLAN 
的 VLAN 标签 


当 帧 中 的 VLAN 
ID 与 端口 加 入 
VLAN 的 VLAN 
ID 相同 时 , 接收 该 
帧 ， 和 否则 丢弃 该 帧 


当 帧 中 的 VLAN 标签 与 该 并 
的 PVID 相同 时 , 则 去 掉 帧 中 的 
标签 ， 然 后 发 送 该 帧 ， 和 否则 丢 
弃 该 数据 帧 。Access 端口 所 发 
送 的 帧 总 是 不 带 VLAN 标签 的 


收 到 不 带 VLAN 标 | 收 到 带 VLAN 标签 . 
签 的 帧 的 处 理 规则 | 的 帧 的 处 理 规 则 2 


端口 只 能 属于 
1 个 VLAN， 

用 于 设备 与 计 
算 机 直接 连接 





Trunk 


端口 


在 帧 中 打上 该 端口 
的 缺 省 的 VLAN 标 
签 ， 当 此 缺 省 
VLAN ID 在 该 端 
口 允 许 通 过 的 
VLAN ID 列表 里 
时 ， 接 收 该 帧 ， 和 否 
则 丢弃 该 由 




















经 验 之 谈 】 这 里 有 





当 帧 中 的 VLAN 
ID 在 该 端口 允许 
通过 的 VLAN ID 
列表 里 时 ， 接 收 该 
帧 ， 否 则 丢弃 该 帧 


当 帧 中 的 VLAN ID 与 该 端 [ 
的 缺 省 VLAN ID 相同 , 且 是 该 
端口 允许 通过 的 VLAN ID 时 ， 
则 去 掉 帧 中 的 VLAN 标签 后 再 
发 送 该 帧 





?VLAN ID 不 同 ， 但 仍 是 该 端口 
允许 通过 的 YLAN ID 时 ， 保 留 
帧 中 原 有 VLAN 标签 并 发 送 该 帧 
当 帧 中 的 VLAN ID 不 是 该 端 
口 允 许 通过 的 VLAN ID 时 ,不 
允许 发 送 





端口 允许 多 个 
VLAN 通过 ， 
可 以 接收 和 发 
送 多 个 VLAN 
的 帧 ， 一 般 用 
于 网 络 设备 之 
间 的 连接 








当 帧 中 的 VLAN ID 是 该 端口 
允许 通过 的 VLAN ID 时 , 则 发 
送 该 帧 (不 管 帧 中 的 VLAN ID 
与 该 端口 的 缺 省 VLAN ID 是 
否 相 同 ), 但 可 以 通过 命令 配置 
发 送 时 是 否 携 带 原 有 的 VLAN 
标签 (通常 只 有 在 与 主机 连接 
的 链 路 不 需要 带 VLAN 标签 ) 
当 帧 中 的 VLAN ID 不 是 该 端 
口 允许 通过 的 VLAN ID 时 , 丢 
弃 该 帧 





端口 允许 多 个 
VLAN 通过 ， 
可 以 接收 和 发 
送 多 个 VLAN 
的 帧 ， 且 既 可 
以 用 于 网 络 设 
备 之 间 的 连 
接 ， 也 可 以 用 
于 网 络 设备 与 
用 户 设备 之 间 
的 连接 





个 大 家 争论 得 比较 多 的 一 个 问题 ， 那 就 是 帧 到 达 Access 端 口 时 交换 机 是 否 会 为 


帧 打上 VLAN 标签 。 因 为 许多 人 认为 Access 端口 所 发 送 的 帧 都 是 不 打 VLAN 标签 的 ， 所 以 有 人 认为 


Access 


的 。 


ED 
里 








也 有 许 





























端口 








在 帧 中 打上 标签 是 没有 任何 意义 的 ， 也 就 认为 Access 端 口 不 会 在 











帧 中 打上 标签 。 其 实 这 是 错误 


然 Access 端 口 向 对 端 设 备 发 送 数据 时 是 不 带 VLAN 标签 的 ， 但 是 数据 到 了 交换 机 后 还 需要 一 个 转发 
过 程 ， 在 交换 机 内 部 传输 中 所 有 数据 都 是 带 有 VLAN 标 签 的 (当然 这 要 求 交 换 机 支持 VLAN 才 行 ) ， 而 且 
些 处 理 〈 如 基于 VLAN 的 策略 路 


多 时 候 数 据 不 是 直接 转发 到 





























、 基 于 VLAN 的 ACL 等 ) ， 或 者 进行 端口 镜像 等 管理 

















目的 节点 的 ， 而 是 需要 在 交换 机 上 进行 
工作 ， 这 些 都 需要 
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月 户 ， 毕 竟 在 一 个 交换 机 的 这 么 多 端口 上 可 能 分 居 


6.2.2 二 层 以 太 网 链 路 











昌 于 不 同 的 VLAN。 





识别 这 些 数据 


是 来 自 





哪个 VLAN 的 





上 贡 介 绍 的 Access、Trunk 和 Hybrid 这 三 种 以 太 网 端口 所 形成 的 链 路 又 可 归纳 成 两 种 以 太 网 链 路 : 接 入 


链 路 〈Access Link) 和 干道 链 路 (Trunk Link) 。 它 们 是 根据 链 路 中 


划分 的 


e@ 接 入 链 路 (Access Link) : 这 是 交换 机 直接 连接 用 户主 机 的 链 路 。 通 
于 哪个 VLAN， 主 机 硬件 通常 也 不 能 识别 带 有 VLAN 标 签 的 帧 ， 





自己 属 


o 
























































FF 允许 通过 的 VLAN 数 据 帧 数量 的 不 同 来 


常情 况 下 ， 主 机 并 不 需要 知道 








所 以 主机 通过 接 入 链 路 发 送 和 接收 的 


























数据 帧 都 是 Untagged 帧 。 但 一 定 要 注意 ， 接 入 链 路 不 一 定 只 允许 来 自 一 个 VLAN 的 数据 帧 通过 ， 只 是 Access 


端口 链 路 才 仪 允许 一 个 VLAN 数 据 帧 通过 ， 在 连接 用 户主 机 的 Hybrid 端 口 链 路 上 同样 允许 来 自 


数据 帧 


e 干道 链 路 (Trunk Link) : 这 是 | 


(不 带 标签 ) 通 过。 


























多 个 VLAN 的 














于 交换 机 间 的 互 连 或 交换 机 与 路 由 器 之 间 连 接 的 链 路 。 干 道 链 路 可 


以 承载 多 个 不 同 VLAN 数 据 ， 数 据 帧 在 干道 链 路 传输 时 ， 干 道 链 路 的 两 端 设备 需要 识别 数据 帧 属于 哪个 


VLAN， 所 以 在 干道 链 路 上 传输 的 都 是 Tagged 帧 ， 除 了 该 链 路 的 PVID 所 属 VLAN 的 巾 G4 





图 




















决 省 为 VLAN1) 。 











6-6 显 示 了 以 上 两 种 链 路 类 型 及 所 传输 的 帧 类 型 〈 带 有 Tag 的 帧 和 Untagged 帧 )， 从 中 可 以 发 现 ， 在 交 














换 机 设备 之 间 的 链 路 都 属于 干道 链 路 ， 传 输 的 是 带 有 Tag 的 帧 ， 而 在 交换 机 与 主机 设备 之 间 的 可 以 是 接 入 链 
路 ， 也 可 以 是 干道 链 路 ， 具 体 要 视 主机 所 连接 的 交换 机 端口 类 型 而 定 ， 但 传输 的 都 是 Untagged 的 帧 。 













































CED | 加 时 加 | 

LU | J 2| | 

DeviceB evice, DeviceC V 7 
| ] LAN2 内 untagged 帧 
Access Link 证 ]VLAN3 内 untagged 帧 


CT ] 带 有 VLAN2 tag 的 帧 
COED] 带 有 VLAN3 tag 的 帧 
一 一 Access Link 


有 一 一 Trunk Link 





图 6-6 两 种 链 路 类 型 及 可 传输 的 帧 类 型 

说 明 

交换 机 在 接收 到 帧 后 ， 会 根据 对 应 端口 类 型 采取 相应 的 数据 收 、 发 处 理 。 如 果 帧 需要 通过 另 一 台 交 换 
机 转发 ， 则 该 帧 必须 通过 干道 链 路 透 传 到 对 端 交 换 设 备 上 。 为 了 保证 其 他 交换 设备 能 够 正确 处 理 帧 中 的 
VLAN 信 息 ， 在 干道 链 路 上 传输 的 帧 必须 打上 VLAN 标 签 。 

当 交 换 机 最 终 确定 帧 出 端口 后 ， 在 将 帧 发 送 给 主机 前 需要 将 VLAN 标签 从 帧 中 删除 ， 这 样 主机 接收 到 
的 帧 都 是 不 带 VLAN 标 签 的 以 太 网 帧 ， 也 只 有 这 样 主机 才 可 能 识别 。 所 以 一 般 情 况 下 ， 干 道 链 路 上 传输 的 都 
是 带 VLAN 标 签 的 帧 ， 接 入 链 路 上 传输 的 都 是 不 带 VLAN 标签 的 帧 。 这 样 处 理 的 好 处 是 网 络 中 配置 的 
VLAN 信息 可 以 被 所 有 交换 设备 正确 处 理 ， 而 主机 不 需要 了 解 VLAN 信 息 。 






























































6.2.3 配置 基于 端口 划分 VLAN 





























基于 端口 划分 VLAN 是 最 简单 ， 也 是 最 常用 的 一 种 VLAN 划 分 方式 。 它 的 划分 思想 就 是 通过 把 连接 用 户 
计算 机 的 交换 机 端口 指定 到 有 具体 的 VLAN (是 “交换 机 端口 ”与 “VLAN“ 间 的 映射 ， 不 考虑 用 户 计算 机 上 任何 
配置 ) 中 来 实现 用 户 计算 机 的 VLAN 加 入 。 
基于 端口 划分 VLAN 方式 是 一 种 静态 VLAN 划分 方式 ， 因 为 在 这 种 划分 方式 中 ， 只 要 把 一 个 交换 机 端 
口 划 分 到 一 个 VLAN 中 ， 则 所 有 连接 在 这 个 交换 机 端口 的 用 户 计算 机 都 将 成 为 该 VLAN 成 员 ， 也 就 是 对 具体 
的 交换 机 端口 来 说 ， 所 连接 的 用 户 计算 机 是 属于 固定 的 VLAN。 
1. 基本 配置 思路 

基于 端口 划分 VLAN 主 要 包括 以 下 三 项 配置 任务 。 

(1) 创建 所 需 的 VLAN: 如 果 VLAN 已 创建 好 ， 则 此 可 直接 略 过 。 

(2) 配置 端口 类 型 基于 端口 划分 YLAN 时 可 以 加 入 Access、Trunk 和 Hybrid 这 三 种 二 层 以 太 网 端口 。 
但 要 注意 的 是 ， 在 华为 交换 机 中 ， 二 层 以 太 网 端口 缺 省 情况 下 是 Hybrid 类 型 的 ， 并 且 以 不 带 标签 方式 加 入 
VLAN 1。 当 然 可 以 通过 命令 修改 。 但 要 注意 表 6-2 中 所 介绍 的 这 三 种 二 层 以 太 网 端口 的 用 途 及 对 数据 帧 的 
收 、 发 处 理 规则 。 

(3) 把 端口 加 入 VLAN 中 : 这 是 把 
好 的 VLAN 中 。 
































































































































































































































户 计算 机 连接 的 交换 机 二 层 以 太 网 端口 加 入 你 所 期 望 并 且 已 创建 








ee 














2. 配置 步骤 
基于 端口 划分 VLAN 的 具体 配置 步骤 如 表 6-3 所 示 。 














表 6-3 基于 端口 划分 VLAN 的 配置 步 又 











命令 











system-view 
例如 : <HUAWEI> 
System-view 









进入 系统 视图 


















创建 并 进入 


VIAN 视图 Vvlan vian-id 


例如 : [HUAWEI] vlan 2 











创建 VLAN 并 进入 VLAN 视图 。 如果 VLAN 已 
经 创建 ， 则 直接 进入 VLAN 视图 。 参 数 vlan-id 
的 取 值 范 围 是 1 一 4 094。 可 用 undo vlan vian-id 
命令 删除 指定 的 VLAN, 但 是 VLAN 1 是 系统 自 
带 的 VLAN， 不 需要 创建 ， 也 不 可 以 删除 











说 明 





配置 任务 步骤 命令 
2 vlan vlan-id 
创建 并 进入 例如 : [HUAWEI] vlan 2 
VLAN 视图 


quit 
例如 : [HUAWEI-vlan2] 
quit 


【说 明 】〗 如 果 要 同时 创建 多 个 VLAN， 则 可 使 
用 vlan batch { vian-id] [ to vlan-id2 ] } 
&<1-10> 命 令 ，Vlan-id1 表示 第 一 个 VLAN 
的 编号 ，vian-id2 表示 最 后 一 个 VLAN 的 编 
号 ， 取 值 范 国都 是 1 一 4094 的 整数 ， 但 
Vlan-id2 的 取 值 必须 大 于 等 于 vlan-idl, 它 与 
Vian-idl 共同 确定 一 个 VLAN 范围 。 如 果 不 
指定 vilan-id2 参数 ， 则 只 创建 vlan-idl 所 指 
定 的 VLAN。 可 用 undo vlan batch { yian-id7 
[ to vian-id2 ] } &<1-10> 命 令 删除 指定 的 
VLAN 


退出 VLAN 视图 ， 返 回 系统 视图 





interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
gigabitethernet 0/0/1 


键入 要 加 入 VLAN 的 二 层 以 太 网 端口 的 接口 类 
型 和 接口 编号 (注意 : 可 以 是 Eth-Trunk 口 )。 

接口 类 型 和 接口 编号 之 间 可 以 输入 空格 , 也 可 以 
不 输入 空格 





配置 
端口 类 型 port link-type { access | 
hybrid | runk } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
port link-type access 


把 以 上 Access port default vlan v/an-id 


端口 加 入 到 一 6 例如 : [HUAWEI- 
个 指定 的 GigabitEthernet0/0/1] 
VLAN 中 port default vlan 2 











配置 以 上 二 层 以 太 网 端口 的 类 型 。 命 令 中 的 选项 
说 明 如 下 。 
(1)aceess: 多 选 一 选项 , 配置 以 上 端口 为 Access 
(2) hybrid: 多 选 一 选项 , 配置 以 上 端口 为 Hybrid 
类 型 ， 这 是 缺 省 二 层 以 太 网 端口 类 型 
(3) trunk: 多 选 一 选项 , 配置 以 上 端口 为 Trunk 
在 改变 端口 类 型 前 ， 需 要 删除 原 端口 类 型 下 
VLAN 配置 ， 即 恢复 接口 只 加 入 VLANI1 的 缺 
省 配置 。 但 本 命令 不 可 用 于 已 经 加 入 
Eth-Trunk 的 物理 接口 ， 且 在 同一 接口 视图 下 
多 次 使 用 本 命令 配置 链 路 类 型 后 , 按 最 后 一 次 
配置 生效 
缺 省 情况 下 ，S 系列 交换 机 的 以 太 网 端口 为 
Hybrid 类 型 , 可 用 undo port link-type 命令 恢复 
接口 为 缺 省 的 链 路 类 型 
(可 选 ) 将 Access 端口 加 入 到 指定 的 VLAN 
中 ， 参 数 vlan-id 的 取 值 范围 是 1 一 4 094 的 
整数 。 如 果 需 要 批量 将 端口 加 入 VLAN， 可 
在 VLAN 视图 下 执行 命令 port interface- 
type {interface- numberl [to interface- 
number2 ] } &<1-10> 向 VLAN 中 添加 一 个 或 
-组 端口 
缺 省 情况 下 ， 所 有 交换 机 端口 都 以 带 标签 方 
式 的 Hybrid 类 型 加 入 VLAN 1 中 ， 可 用 undo 
port default vian 命令 恢复 该 端口 的 缺 省 
VLAN 配置 








把 以 上 Trunk 
端口 加 入 到 一 
个 或 多 个 指定 
的 VLAN 中 ， 

并 可 选 为 以 上 
Trunk 端口 配 
置 缺 省 VLAN 


port trunk allow-pass 
vlan { vlan-id]l [ to vlan- 
id2]} &<1-10> | all } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
port trunk allow-pass 
vlan 2to 10 


(可 选 ) 将 以 上 Trunk 端口 加 入 到 指定 的 VLAN 
中 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) vlan-id1: 指定 第 一 个 VLAN 的 ID 号 ， 到 
值 范围 是 1 一 4 094 的 整数 

(2) to vian-id2: 可 选 参数 , 指定 最 后 一 个 VLAN 
的 ID 号 ， 取 值 范 围 为 1 一 4094 的 整数 ， 与 
vian-idl 共同 构成 一 个 二 选 一 参数 

(3) &<1-10>: 表示 前 面 的 参数 对 最 多 可 以 重复 
10 次 ， 各 段 之 间 以 空格 分 隔 

(4) all: 二 选 一 选项 ,指定 Trunk 接口 加 入 所 有 
VLAN 

扎 省 情况 下 ,Trunk 类 型 接口 只 加 入 了 VLAN 
1， 可 用 undo port trunk allow-pass vlan 
{ { vian-idi [ to vian-id2 ] }&<1-10> | all } 
命令 删除 对 应 Trunk 类 型 端口 加 入 的 指定 
VLAN 





port trunk pvid vlan 
Van-id 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
port trunk pvid vlan 
10 


(可 选 ) 配置 以 上 Trunk 类 型 端口 的 缺 省 
VLAN, 参数 vlan-id 的 取 值 范围 是 1 一 4 094 的 
整数 

缺 省 情况 下 ,，Trunk 类 型 接口 的 缺 省 VLAN 为 
VLAN 1， 可 用 undo port trunk pvid vlan 命 
令 恢复 以 上 Trunk 类 型 端口 的 缺 省 VLAN ( 即 
VLAN1) 

【说 明 】 使 用 本 命令 配置 Trunk 类 型 端口 缺 省 
VLAN 前 ， 该 VLAN 必须 已 创建 。 但 是 ， 缺 
省 VLAN 不 一 定 是 接口 允许 通过 的 VLAN， 
只 有 使 用 上 一 步 介 绍 的 port trunk allow- 
pass vlan { {vian-idl[to vlan-id2] } 
太 <1-10> | all } 命 令 将 缺 当 VLAN 加 入 到 的 
允许 的 VLAN 列表 中 才能 转发 缺 省 VLAN 的 
数据 帧 





把 以 上 Hybrid 
端口 加 入 一 个 
或 多 个 指定 的 
VLAN 中 ， 并 
可 选 为 以 上 
Hybrid 端口 配 
殴 缺 省 VLAN 


port hybrid Untagged 


vlan { { vlan-idl [to vian- 


id2] } &<1-10> | all } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
port hybrid Untagged 
vian 2to 10 


(可 选 ) 将 以 上 连接 用 户主 机 的 Hybrid 端 
口 以 Untagged 方式 加 入 指定 的 VLAN 中 ， 
即 指定 的 这 些 VLAN 帧 将 以 Untagged 方 式 
(去 掉 帧 中 原来 的 VLAN 标签 ) 通过 接口 
向 外 《〈 即 向 对 端 设 备 发 送 ， 不 是 向 本 地 交 
换 机 内 部 发 送 ) 发 送 。 参 数 同 前 面 介 绍 的 
port trunk allow-pass vlan { {v/an-idl 
[to vian-id2] ) &<1-10> | all } 命 令 的 对 
应 参数 

本 命令 仅 对 通过 该 端口 向 对 端 设备 发 送 VLAN 
帧 时 起 作用 ， 不 对 接收 的 帧 起 作用 

缺 省 情况 下 ,Hybrid 端口 以 Untagged 方式 加 
入 VLAN1。 可 用 undo port hybrid vlan 
{ { vian-idl [to vian-id2 ] !&<1-10> | all } 命 
令 删 除 以 上 Hybrid 类 型 端口 加 入 的 指定 
VLAN 





配置 任务 和 说 明 








(可 选 ) 将 以 上 连接 网 络 设备 的 Hybrid 端口 以 
Tagged 方式 加 入 指定 的 VLAN 中 , 即 指定 的 这 
些 VLAN 帧 将 以 Tagged 方式 (保留 帧 中 原来 的 
VLAN 标签 ) 通过 接口 向 外 〈 即 向 对 端 设备 发 
port hybrid Tagged 送 ， 不 是 向 本 地 交换 机 内 部 发 送 ) 发 送 。 参 数 
vlan {vlan-id1 [to vlan- | 同 前 面 介绍 的 port trunk allow-pass vlan 
W]e lO} | Tylana Ttonlinia?] bal-10> [al Tf 


0 庆 如 : VEI- a 
1 例如 : [HUAWEI 的 对 应 参数 


上 - vigabitE /0/ 
人 Dosimbmd 0 | 本 命令 仅 对 通过 该 端口 向 对 庙 设 备 发 送 VLAN 
人 Wan 立 to 10 帧 时 起 作用 ， 不 对 接收 的 帧 起 作用 
AN 中 并 缺 省 情况 下 ，Hybrid 端口 以 Untagged 方式 加 入 
人 VLAN1, 可 用 undo port hybrid vlan { { vian-id7 
可 选 为 以 上 [ to vian-id2 ] }&<1-10> | all ;命令 删除 以 上 
A Hybrid 类 型 端口 加 入 的 指定 VLAN 
上 \ 





(可 选 ) 配置 以 上 Hybrid 类 型 端口 的 缺 省 
VLAN ID, 参数 和 注意 事项 同 前 面 介绍 的 port 


i pvid vlan trunk pvid vlan vlan-id 命令 的 参数 和 注意 
vlan-i 事项 


各 缺 省 情况 下 ， 所 有 接口 的 缺 省 VLAN ID 为 
port hybrid pvid vlan 2 | VLAN 1, 可 用 undo port hybrid pvid vlan 命令 

恢复 以 上 Hybrid 类 型 端口 的 缺 省 VLAN ID 〈 即 
VLAN!1) 


【经 验 之 谈 】 交换 机 端口 从 对 端 设备 收 到 的 帧 有 可 能 是 Untagged 的 ， 如 连接 用 户 计算 机 时 ， 但 所 有 以 
太 网 帧 在 交换 机 内 部 都 是 以 Tagged 的 形式 进行 处 理 、 转 发 的 ， 因 此 交换 机 必须 给 端口 收 到 的 Untagged 帧 加 
上 VLAN 标 签 。 为 了 实现 此 目的 ， 必 须 配 置 接 口 的 缺 当 VLAN， 即 PVID。 当 该 接口 收 到 Untagged 帧 时 给 它 
加 上 该 端口 缺 省 VLAN 的 VLAN 标 签 。 当 然 如 果 是 Access 类 型 端口 ， 不 需要 另外 配置 PVID， 因 为 其 PVID 就 
是 该 端口 唯一 加 入 VLAN 的 VLAN ID。 
【示例 1】 配 置 GE0/0/1 端 口 的 链 路 类 型 为 Trank， 人 允许 VLAN 10~~VLAN 30 通 过 ， 并 配置 其 缺 省 VLAN 
为 VLAN 5。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk 
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 to 30 
[HUAWEI-GigabitEthernet0/0/1] port trunk pvid vlan 5 
【示例 2】 配 置 GE0/0/1 端 口 的 链 路 类 型 为 Hybrid， 并 以 带 标 签 方式 加 入 VLAN 10~~VLAN 30， 并 配置 
其 缺 省 VLAN 为 VLAN5。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid 
[HUAWEI-GigabitEthernet0/0/1] port hybrid Tagged vlan 10 to 30 
[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 5 
【示例 3】 配 置 GE0/0/1 端 口 的 链 路 类 型 为 Hybrid， 并 以 不 带 标签 方式 加 入 VLAN 10 和 VLAN 30， 并 配 
置 其 缺 省 VLAN 为 VLAN5。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type hybrid 
[HUAWEI-GigabitEthernet0/0/1] port hybrid Untagged vlan 10 30 
[HUAWEI-GigabitEthernet0/0/1] port hybrid pvid vlan 5 














































































































































































































































































































6.2.4 基于 端口 划分 VLAN 的 配置 示例 
医 

许多 进行 不 同 } 

2 中 ， 而 和 





对 应 的 VLAN! 
































GE1/0/3 






SwitchA 


GE1/0/]1 








Userl User3 
VLAN2 VLAN3 
图 6-7 基于 接 


























根据 本 章 6.2.1 节 的 介绍 已 经 知道 ， 用 户 PC 机 连接 的 端 
Hybrid 类 型 的 ， 而 交换 机 之 间 连 接 的 端口 类 型 可 以 是 Trunk 类 型 
分 析 ， 本 示例 实际 上 可 以 有 以 下 4 种 配置 方案 。 
交换 机 间 连 接 端 


























5> 
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GE1/0/1 


有 


6-7 所 示 为 一 个 小 型 企业 局 域 网 示例 ， 拓 扑 结 构 中 的 两 台 交 换 机 (SwitchA 和 SwitchB ) 上 各 连接 了 
此 务 操 作 的 用 户 。 现 要 把 连接 在 SwitchA 上 的 User1 和 连接 在 SwitchB 上 的 User2 都 划分 到 VLAN 
巴 连 接 在 SwitchA 上 的 User3 和 连接 在 SwitchB 上 的 User4 都 划分 到 VLAN 3 中 
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jE1/0/3 
SwitchB 


GE1/0/2 


User2 
VLAN2 


User4 
VLAN3 


划分 VLAN 示 例 拓扑 结构 





既 可 以 是 Access 类 型 的 ， 又 可 以 是 不 带 标签 的 











4， 又 可 以 是 带 标 签 的 Hybrid 类 型 。 鉴 于 以 上 








pa 
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Me 


方 户 端 口 采用 Access 类 型 ， 


下 


Trunk 类 型 

















(1) 在 SwitchA 创 建 VLAN2 和 VLAN3， 


























<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 2 3 
[SwitchA] interface gigabitethernet 1/0/1 





[SwitchA-GigabitEthernet1/0/1] port link-type access 
[SwitchA-GigabitEthernet1/0/1] port default vlan 2 
[SwitchA-GigabitEthernet1/0/1] quit 

[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type access 
[SwitchA-GigabitEthernet1/0/2] port default vlan 3 
[SwitchA-GigabitEthernet1/0/2] quit 








并 将 连接 用 
。SwitchB 配 置 与 SwitchA 类 似 ， 不 再 歼 述 。 














户 的 





!--- 批 量 创 建 VLAN 2 和 VLAN 3 


1!--- 设 置 gigabitethernet1/0/1 接 
1!--- 把 gigabitethernet1/0/1 接 口 














端口 类 型 都 设置 为 Access 类 型 ， 然 后 分 别 加 入 




















为 Access 类 型 


加 入 到 VLAN 2 


























(2) 配置 SwitchA 与 SwitchB 连 接 的 端口 类 型 为 Trunk， 同 时 允许 YLAN 2 和 VLAN 3 通过 。SwitchB 配 置 
与 SwitchA 类 似 ， 不 再 歼 述 。 


[SwitchA] interfacegigabitethernet 1/0/3 
[SwitchA-GigabitEthernetl/0/3] port link-type trunk 


[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 2 to 3 























方案 二 : 用 户 端口 采用 Access 类 型 ， 
(1) 把 用 户 加 入 对 应 的 VLAN' 



































(2) 配置 SwitchA 与 SwitchB 连 接 的 端口 类 型 为 Hybrid， 





VLAN 3 中 。SwitchB 配 置 与 SwitchA 类 似 ， 不 再 次 述 。 


[SwitchA] interfacegigabitethernet 1/0/3 




















交换 机 间 连 接 端 口 采 
， 配 置 方 法 同方 案 一 中 的 第 (1) 步 配置 。 


和 








j 带 标签 的 Hybrid 类 型 。 








诈 以 Tagged《〈 带 标签 ) 方式 同时 加 入 VLAN 2 和 


[SwitchA-GigabitEthernet1/0/3] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/3] port hybrid Tagged vlan 2 to 3 
方案 三 : 用 户 端口 采用 不 带 标签 的 Hybrid 类 型 ， 交 换 机 间 连 接 端口 采用 Trunk 类 型 。 

(1) 在 SwitchA 创 建 YLAN2 和 VLAN3， 并 将 连接 用 户 的 端口 类 型 都 设置 为 Hybrid 类 型 ， 然 后 分 别 以 
Untagged 方 式 加 入 对 应 的 VLAN 中 ， 并 且 把 对 应 的 VLAN ID 设置 这 些 Hybrid 端 口 的 PVID。SwitchB 配 置 与 
SwitchA 类 似 ， 不 再 殉 述 。 

<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 2 3 
[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthermet1/0/1] port link-type hybrid “1!--- 设 置 gigabitethernet1/0/1 接 口 为 Hybrid 类 型 
[SwitchA-GigabitEthermet1/0/1] port hybrid Untagged vlan 2 !--- 把 gigabitethernet 1/0/1 接 口 以 Untagged 方 
式 加 入 到 VLAN 2 中 
[SwitchA-GigabitEthemet1/0/1] port hybrid pvid vlan 2 ”!--- 设 置 gigabitethernet1/0/1 接 口 的 PVID 为 VLAN 2 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/2] port hybrid Untagged vlan 3 
[SwitchA-GigabitEthernet1/0/2] port hybrid pvid vlan 3 
[SwitchA-GigabitEthernet1/0/2] quit 
(2) 交换 机 间 连 接 端 口 配置 ， 配 置 方 法 同方 案 一 中 的 第 (2) 步 配置 。 
方案 四 : 用 户 端 口 采用 不 带 标 签 的 Hybrid 类型， 交换 机 间 连 接 端 口 采 用 带 标签 的 Hybrid 类 型 。 
(1) 把 用 户 加 入 对 应 的 VLAN 中 ， 配 置 方法 同方 案 三 中 的 第 (1) 步 配 置 。 
(2) 交换 机 间 连 接 端 口 配置 ， 配 置 方 法 同方 案 二 中 的 第 (2) 步 配置 。 
验证 配置 结果 如 下 。 
将 User1 和 User2 配 置 在 一 个 网 段 ， 比 如 192.168.100.0/24; 将 User3 和 User4 配 置 在 一 个 网 段 ， 比 如 
192.168.200.0/24。 经 测试 ， 证 明 User1 和 User2 能 够 互相 ping 通 ， 但 是 均 不 能 ping 通 User3 和 User4。User3 和 
User4 能 够 互相 ping 通 ， 但 是 均 不 能 ping 通 User1 和 User2。 由 此 可 确认 配置 是 正确 并 成 功 的 。 
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6.3 基于 MAC 地 址 划分 VLAN 




















基于 MAC 地 址 的 VLAN 划 分 方式 是 一 种 动态 VLAN 划 分 方式 。 它 的 划分 思想 是 把 用 户 计算 机 网 卡 上 的 
MAC 地 址 配置 与 某 个 VLAN 进 行 关联 (是 “用 户 计算 机 网 卡 MAC 地 址 ”与 “VLAN” 之 间 的 映射 ， 不 考虑 用 户 
计算 机 所 连接 的 交换 机 端口 ) ， 这 样 就 可 以 实现 无 论 该 用 户 计算 机 连接 在 哪 台 交 换 机 的 二 层 以 太 网 端口 上 
都 将 保持 所 属 的 VLAN 不 变 。 

也 可 以 这 么 理解 : 基于 MAC 地 址 划分 VLAN 可 以 使 无 论 用 户 计算 机 连接 在 哪 台 交 换 机 ， 也 无 论 是 连接 
在 哪个 交换 机 端口 上 ， 对 应 交换 机 端口 都 将 成 为 该 用 户 计算 机 网 卡 MAC 地 址 所 映射 的 VLAN 的 成 员 ， 而 不 
需要 在 用 户 计 算 机 改变 所 连接 的 端口 时 重新 划分 VLAN。 这 样 就 可 以 进一步 提高 终端 用 户 的 安全 性 (不 会 轻 
易 被 非法 改变 所 属 VLAN 配 置 ) 和 接 入 的 灵活 性 〈 用 户 计算 机 可 以 在 网 络 中 根据 实际 需要 随意 移动 ) 。 
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计算 机 采用 这 种 VLAN 划 分 方式 。 





6.3.1 配置 基于 MAC 地 址 划分 VLAN 











基于 MAC 地 址 划分 的 VLAN 只 处 理 









































基于 MAC 地 址 的 VLAN 划 分 方式 只 能 在 Hybrid 交换 机 端口 上 进行 ， 不 能 对 其 他 类 型 端口 上 连接 的 用 户 


EUntagged 数 据 帧 ， 因 为 这 里 所 介绍 的 VLAN 都 是 单 层 VLAN 标 签 的 


CQinQ 可 以 实现 双 层 VLAN 标 签 ) ， 只 有 收 到 的 数据 帧 中 原来 没有 VLAN 标 签 才 可 以 根据 交换 机 上 所 配置 的 
MAC 地 址 与 YLAN ID 映射 关系 ， 在 数据 帧 中 添加 对 应 的 VLAN 标 签 。 另 外 ， 基 于 MAC 地 址 划分 VLAN 仅 可 





在 Hybrid 端口 上 进行 。 这 样 一 来 就 可 使 得 基于 MAC 地 址 划分 VLAN 主 要 是 针对 终端 用 



























































户 设 备 ， 而 非 针对 3 





其 
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他 网 络 设 备 ， 因 为 在 其 他 网 络 设 备 间 连 接 的 端口 上 发 送 的 数据 帧 通常 都 是 带 有 VLAN 标 签 的 ， 即 使 是 Hybrid 

















类 型 端口 。 
当 交 换 机 Hybrid 端 
















































































1. 基本 配置 思路 











配 MAC-VLAN 映 射 表 项 。 




























































































基于 MAC 地 址 划分 VLAN 的 配置 思路 如 下 。 


(1) 创建 要 用 于 与 用 户主 机 MAC 地 址 关联 的 VLAN。 


(2) 在 以 上 创建 的 VLAN 视 图 下 关联 用 户 MAC 地 址 ， 建 立 MAC 地 址 与 YLAN 的 映射 表 ， 以 确定 哪些 用 
户 MAC 地 址 可 划分 到 以 上 创建 的 VLAN 中 。 




































































行 匹 
方式 和 基于 端口 


口 收 到 的 数据 帧 为 Untagged 数据 帧 时 ， 端 口 会 以 数据 帧 的 源 MAC 地 址 为 根据 去 匹 
如 果 匹 配 成 功 ， 则 在 对 应 的 数据 帧 中 添加 所 匹配 到 的 VLAN ID 标签 ， 然 后 按照 对 
应 的 VLAN ID 和 优先 级 进行 转发 ;如 果 匹 配 失败 ， 则 按 其 他 匹配 原则 《如 其 他 VLAN 划 分 规则 ) 进 
配 。 当 交换 机 端口 收 到 的 是 Tagged 数据 帧 〈 仅 在 设备 间 连 接 的 端口 上 才 有 可 能 ) ， 其 处 至 
的 VLAN 一 样 ， 根 据 Hybrid 类 型 端口 的 数据 收 、 发 规则 进行 ， 参 见 表 6-2。 





(3) 配置 各 用 户 连接 的 交换 机 二 层 以 太 网 端口 类 型 为 Hybrid， 并 允许 前 面 创 建 的 基于 MAC 地 址 划分 



































山口 类 型 是 不 用 配置 的 。 









































































































































MAC 地 址 划分 VLAN 功 能 ， 完 成 基于 MAC 地 址 划分 VLAN。 





2. 配置 步 又 








基于 MAC 地 址 划分 VYLAN 的 配置 步骤 如 表 6-4 所 示 。 








表 6-4 基于 MAC 地 址 划分 VLAN 的 配置 步骤 
































上 配置 ) 使 能 





于 


的 VLAN 以 不 带 VLAN 标 签 方式 通过 当前 端口 。 因 为 华为 交换 机 的 所 有 二 层 以 太 网 端口 缺 省 都 是 Hybrid 类 
型 ， 所 以 缺 省 情况 下 ， 站 
(4() 可 选 ) 配置 YLAN 划 分 方式 的 优先 级 ， 确 保 优先 基于 MAC 地 址 划分 YLAN。 和 缺 省 情况 下 是 优先 
基于 MAC 地址 划分 VLAN， 但 是 可 通过 配置 改变 优先 划分 的 方式 。 

(5) 在 Hybrid 交换 机 端口 上 《〈 注 意 ， 不 一 定 要 在 连接 用 户 计算 机 的 Hybrid 端口 


创建 并 进入 
VLAN 视图 


配置 Hybrid 
端口 属性 并 局 
用 基于 MAC 
地 址 VLAN 
划分 功能 


system-view 
例如 : <HUAWEI> 
System-view 


van vlan-id 
例如 : [HUAWEH 
vlan 2 


mac-vlan mac-address 
mac-address [ mac- 
address-mask | mac- 
address-mask-length ] 
[ priority priorip ] 
例如 : [HUAWEI-vlan2] 
mac-vian mac-address 
22-33-44 


说 明 
进入 系统 视图 


创建 VLAN 并 进入 VLAN 视图 。 如 果 VLAN 已 经 
创建 , 则 直接 进入 VLAN 视图 。 其 他 说 明 参 见 表 6-3 
中 的 第 2 步 

创建 用 户 计算 机 网 卡 MAC 地 址 与 VLAN 的 上 映射 表 
项 。 命令 中 的 参数 说 明 如 下 : 

(1) mac-address: 指定 要 与 VLAN 关联 的 用 户 计算 
机 MAC 地址， 格式 为 H-H-H， 其 中 日 为 4 位 的 十 
六 进 制 数 ， 可 以 输入 1 一 4 位 ， 如 00e0、fe01， 但 这 
里 的 MAC 地 址 不 可 设置 为 全 F、 全 0 或 组 播 MAC 
地 址 

(2) mac-address-mask: 二 选 一 可 选 参数 ， 指 定 以 上 
MAC 地 址 的 掩 码 ， 格 式 为 H-H-H， 其 中 H 为 1 至 
4 位 的 十 六 进 制 数 。MAC 地 址 掩 码 是 用 来 确定 在 创 
建 MAC 地 址 与 VLAN 映射 表 项 时 对 MAC 地 址 匹 
配 的 比特 位 ， 具 有 值 为 1 的 比特 位 才 进 行 匹 配 。 如 
果 要 精确 匹配 一 个 MAC 地 址 ， 则 MAC 地 址 掩 码 
为 FFFF-FFFF-FFFF， 但 如 果 想 要 为 一 批 具 有 某 些 
相同 特点 的 MAC 地 址 创建 与 VLAN 的 映射 表 项 ， 
则 其 掩 码 不 能 是 FFFF-FFFF-FFFF ， 可 以 是 像 
FFFF-FFFF-0000 这 样 的 ， 这 样 只 要 前 32 位 是 一 样 的 
MAC 地 址 都 要 创建 与 VLAN 的 映射 表 项 。 但 $7700、 
S9300 和 S9700 系列 不 支持 该 可 选 参数 

(3) mac-address-mask-length: 二 选 一 可 选 参数 ， 指 定 
MAC 地 址 掩 码 长 度 ， 刺 数 形式 ， 取 值 范 围 是 1~48。 
但 S7700、S9300 和 S9700 系列 不 支持 该 可 选 参数 
(4) priority priority: 可 选 参数 ,指定 以 上 MAC 地 
址 所 对 应 的 VLAN 的 802.1p 优先 级 。 取 值 范围 是 
0 一 7， 值 越 大 优先 级 越 高 。 缺 省 值 是 0。 配 置 过 程 
中 , 可 以 指定 MAC 地 址 对 应 的 VLAN 的 802.1p 优 
先 级 ， 用 于 当 交 换 机 阻塞 时 ， 优 先 发 送 优先 级 高 的 
数据 包 。 但 S2700 系列 不 支持 该 可 选 参数 

抢 省 情况 下 ，MAC 地 址 与 VLAN 没有 关联 ， 可 用 
undo mac-vian mac-address { all | mac-address 
[ mac-address-mask | mac-address-mask-length ] } 命 


令 取 消 指定 MAC 地 址 与 VLAN 关联 


如 果 有 多 个 MAC 地 址 与 VLAN 映射 表 项 ， 则 重复 第 3 步 。 但 要 注意 ， 如 果 映 射 的 
VLAN 不 一 样 ， 则 一 定 要 在 对 应 的 VLAN 视图 下 配置 映射 


quit i 四。 版 全 
四 例如 [HUAWELvlan2] | 退去 VLAN 视图 ， 返 回 系统 视图 


interface 
interface-type 
interface-number 
例如 : [HUAWED] 
interface 
gigabitethernet 0/0/1 


键入 要 采用 基于 MAC 地 址 划分 VLAN 的 交换 机 端 
口 〈 注 意 ， 可 以 是 Eth-Trunk 口 ， 且 包括 但 不 限于 
连接 用 户 计算 机 的 端口 ) 的 接口 类 型 和 接口 编号 。 
接口 类 型 和 接口 编号 之 间 可 以 输入 空格 也 可 以 不 输 
入 空格 





(可 选 ) 配 置 以 上 二 层 以 太 网 端口 类 型 为 Hybrid 
类 型 。 但 因为 Hybrid 类 型 是 华为 交换 机 二 层 
以 太 网 端口 的 缺 省 类 型 ， 故 多 数 情况 不 需要 
配置 
port link-type hybrid | 在 改变 端口 类 型 前 ， 需 要 删除 原 端口 类 型 下 VLAN 
例如 : [HUAWEI- 配置 ， 即 恢复 接口 只 加 入 VLANI1 的 缺 省 配置 。 但 
GigabitEthernet0/0/1] | 本 命令 不 可 用 于 已 经 加 入 Eth-Trunk 的 物理 接口 ， 
portlink-type hybrid | 且 在 同一 接口 视图 下 多 次 使 用 本 命令 配置 链 路 类 型 
后 ， 按 最 后 一 次 配置 生效 
缺 省 情况 下 , 接口 的 链 路 类 型 为 Hybrid, 可 用 undo 
port link-type 命令 恢复 端口 的 链 路 类 型 为 缺 省 的 
Hybrid 类 型 





port hybrid Untagged 

vlan { {vlan-id1 [to | 配置 以 上 Hybrid 类 型 端口 以 Untagged 方式 加 入 指 
Wo] 上 有 <1-10> | 定 的 VLAN 中 , 即 指定 这 些 VLAN 帧 将 以 Untagged 
由 如 [HUAWEI。 | 方式 (去 掉 帧 中 原来 的 VLAN 标签 通过 接口 向 外 
GigabitEthernet0/0/1] | ( 即 向 对 端 设备 发 送 ， 不 是 向 本 地 交换 机 内 部 发 送 》 
配置 Hybrid porthybrid Untagged | 发 送出 去 。 其 他 方面 的 说 明 参见 表 6-3 中 的 第 5 步 


端口 属性 并 启 vlan2to 10 





VC vlan precedenee | (可 选 ) 指定 优先 基于 MAC 地 址 划分 VLAN。 不 过 


地 址 VLAN mac-vlan 

划分 功能 例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
vlan precedence 
mac-vlan 


其 实 也 可 不 用 配置 ， 因 为 缺 省 情况 下 也 是 优先 基于 
MAC 地 址 划分 VLAN。 也 可 用 undo vlan precedence 
命令 恢复 该 配置 为 缺 省 的 基于 MAC 地 址 划分 
VLAN 


在 以 上 Hybird 端口 上 (通常 是 在 网 络 设备 之 间 连 
接 的 Hybird 端口 上 集中 配置 , 而 不 是 为 每 个 连接 
用 户 计算 机 的 Hybrid 端口 上 配置 ) 使 能 基于 
MAC 地 址 划分 VLAN。 当 端口 收 到 Untagged 数 
i 据 帧 时 会 以 数 据 帧 的 MG 地 址 去 匹配 
例如 ，[HUAWEL 下 ey 
GigabitEthernet0/0/1] | 的 VLAN ID 进行 转发 ; 如 果 瑟 配 失败 ， 则 按照 优 
和 先 级 选择 其 他 匹配 原则 继 5 配 。 而 当 收 到 
Tagged 数据 帧 时 , 则 按照 基于 端口 划分 VLAN 进 
行 转发 
缺 省 情况 下 ， 未 使 能 基于 MAC 地 址 划分 VLAN 功 
能 ， 可 用 undo mac-vlan enable 命令 取消 该 端口 的 
MAC VLAN 功能 


对 其 他 需要 采用 基于 MAC 地 址 划分 VLAN 的 Hybrid 端口 重复 以 上 第 5 一 9 步 














注意 
如 果 某 VLAN 配 置 为 MAC VLAN， 要 删除 该 VLAN， 必 须 先 使 用 undo mac-vlan mac-address { all Imac- 
address [mac-address-mask |mac-address-mask-length ] } 命 令 删 除 所 有 MAC 地 址 与 VLAN 的 关联 N。 且 在 
S5700EI 上 多 次 使 用 mac-vlan mac-address 命 令 关联 VLAN 和 MAC 地 址 时 ， 如 果 指 定 的 mac-address 相 同 ， 则 指 
定 了 MAC 地 址 掩 码 的 配置 优先 生效 。 当 一 个 MAC 地 址 关联 了 MAC VLAN 后 ， 则 不 可 以 再 用 于 配置 其 他 
MAC VLAN， 以 避免 一 个 计算 机 用 户 加 入 多 个 VLAN 中 ; 多 次 使 用 mac-vlan mac-address 命 令 把 当前 VLAN 
与 不 同 MAC 地 址 进行 关联 时 ， 配 置 结果 按 多 次 累加 生效 ， 也 就 相当 于 创建 了 多 个 MAC 地 址 与 YLAN 映 射 表 
项 。 但 MAC-VLAN 与 MUX-VLAN 冲 突 ， 不 允许 在 同一 接口 上 同时 配置 这 两 种 VLAN， 且 MAC-VLAN 对 接 
收 到 的 VLAN ID 为 0 的 数据 帧 不 生效 。 
【示例 1】 配 置 MAC 地 址 22-33-44 与 VLAN100 关 联 。 
<HUAWEI>system-view 
[HUAWEI] vlan 100 
[HUAWEI-vlan100] mac-vlan mac-address 22-33-44 
【示例 2】 配置 GE0/0/1 端 口 优先 采用 基于 MAC 地 址 划分 VYLAN， 并 使 能 基于 MAC 地 址 的 VLAN 划 分 功 















































































































































































































































能 。 
<HUAWEI> system-view 
[HUAWEI] interfacegigabitethernet0/0/1 


[HUAWEI-GigabitEthernet0/0/1] vlan precedence mac-vlan 
[HUAWEI-GigabitEthernet0/0/1] mac-vlan enable 


6.3.2 基于 MAC 地 址 划分 VLAN 的 配置 示例 




















某 个 公司 的 基本 网 络 结构 如 图 6-8 所 示 。 为 了 提高 部 门 内 的 信息 安全 ， 每 个 部 门 的 员工 划分 到 一 个 
VLAN 中 。 现 假设 在 工程 部 中 有 PC1、PC2、PC3 三 个 用 户 ， 现 要 求 在 该 部 门 中 仅 这 几 台 PC 可 以 通过 
SwitchA、Switch 访 问 公 司 网 络 ， 如 换 成 其 他 PC 则 不 能 访问 。 
























































Eth0/0/2 


Switch 
Eth0/0/1 
Eth0/0/1 


SwitchA 








:22-22-22 MAC:33-33-33 MAC:44-44-44 : 
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VLAN 10 
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图 6-8 基于 MAC 地 址 的 VLAN 划 分 配置 示例 拓扑 结构 





























根据 以 上 要 求 ， 可 以 针对 工程 部 的 以 上 三 台 PC 配置 基于 MAC 地 址 划分 的 VLAN 10， 将 它们 的 MAC 地 
址 与 VLAN 绑 定 ， 从 而 可 以 防止 非法 PC 访问 公司 网 络 。 

1. 配置 思路 分 析 
面 对 这 样 一 个 基于 MAC 地 址 的 VLAN 划分 示例 ， 大 家 最 容易 想到 的 是 直接 到 SwitchA 交 换 机 上 进行 配 
置 。 但 其 实际 通常 不 是 这 样 配置 的 ， 还 有 一 种 更 为 简便 的 方法 ， 那 就 是 直接 在 Switch 上 启用 基于 MAC 地 址 
的 VLAN 划 分 功能 。 

本 示例 的 基本 配置 思想 如 下 。 

(1) 因为 华为 交换 机 上 所 有 二 层 以 太 网 端口 缺 省 都 是 Hybrid 类 型 ， 并 且 发 送 数据 帧 时 都 是 不 带 
VLAN 标签 的 ， 故 其 实 完全 可 以 让 SwitchA 全 部 采用 缺 省 配置 〈 当 然 如 果 该 交换 机 的 缺 省 配置 有 改变 ， 需 要 
重新 恢复 其 缺 省 配置 ) ， 这 样 到 达 Switch 交 换 机 的 数据 帧 都 是 不 带 VLAN 标 签 的 。 

(2) 然后 通过 在 Switch 交换 机 与 SwitchA 交 换 机 连接 的 Eth0/0/1 端口 上 配置 不 带 标 签发 送 特性 的 Hybrid 
类 型 ， 允 许 来 自 VLAN 10 的 数据 帧 通过 ， 并 且 启 用 基于 MAC 地 址 划分 VLAN 功 能 ， 就 可 使 得 连接 在 SwitchA 
上 的 PC1、PC2 和 PC3 发 送 的 数据 帧 在 到 达 Switch 后 自动 打 上 对 应 的 VLAN 10 标 签 。 

(3) 最 后 将 Switch 交换 机 的 Eth0/0/2 端 口 配置 为 带 标签 的 Hybrid 类 型 ， 并 允许 VLAN 10 的 数据 帧 通过 即 
可 。 

2. 配置 步骤 

SwitchA 交 换 机 上 全 部 采用 缺 省 配置 《所 有 二 层 以 太 网 端口 类 型 缺 省 为 Hybrid， 并 且 以 Untagged 方 式 加 
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入 到 VLAN1) ， 所 以 无 需 另外 配置 “如 果 交 换 机 上 的 缺 省 配置 发 生 了 改变 ， 则 需要 先 恢复 到 缺 省 配置 ) 。 
现在 只 需要 在 Switch 交换 机 上 做 如 下 配置 。 
(1) 创建 VLAN。 
这 里 要 创建 PC1、PC2 和 PC3 这 三 个 PC 用 户 要 通过 MAC-VLAN 功能 加 入 的 VLAN 10。 
<HUAWEI> system-view 
[HUAWEI] vlan 10 
(2) 创建 PC 的 MAC 地 址 与 VLAN 10 关 联 。 
[HUAWEI-Vlan10] mac-vlan mac-address 22-22-22 
[HUAWEI-Vlan10] mac-vlan mac-address 33-33-33 
[HUAWEI-Vlan10] mac-vlan mac-address 44-44-44 
[HUAWEI-Vlan10] guit 
(3) 配置 接口 加 入 的 VLAN。 
[HUAWEI]| interface ethernet 0/0/1 
[HUAWEI-Ethernet0/0/1] port hybrid Untagged vlan 10 ”1!--- 指 定 允 许 VLAN 10 的 数据 帧 通过 ， 且 发 送 时 
不 带 VLAN 标 签 
[HUAWEI-Ethernet0/0/1] guit 
[HUAWEI]| interface ethernet 0/0/2 
[HUAWEI-Ethernet0/0/2] port hybrid Tagged vlan 10”!--- 指 定 允 许 VLAN 10 的 数据 帧 通过 ， 且 发 送 时 必 
须 带 有 VLAN 标 签 
[HUAWEI-Ethernet0/0/2] guit 
(4) 在 连接 SwitchA 的 Eth0/0/1 端 口上 使 能 基于 MAC 地 址 划分 VLAN 功 能 。 
[HUAWEI] interface ethernet 0/0/1 
[HUAWEI-Ethernet0/0/1] mac-vlan enable 
[HUAWEI-Ethernet0/0/1] guit 
通过 以 上 配置 就 可 以 实现 PC1、PC2、PC3 成 功 访问 公司 网 络 ， 并 且 连 接 在 SwitchA 端 口上 的 计算 机 换 成 
其 他 外 来 人 员 的 PC 时 不 能 访问 ， 因 为 在 Switch 交 换 机 上 并 没有 配置 对 应 的 MAC 地 址 与 VYLAN 映 射 表 项 ， 提 
高 了 网 络 安全 性 能 。 

























































































































































































6.4 基于 子 网 划分 VLAN 





























基于 子 网 划分 VLAN 是 基于 数据 帧 中 上 层 ( 网 络 层 ) IP 地 址 或 所 属 IP 网 段 进 行 的 VLAN 划 分 ， 与 下 节 将 
要 介绍 的 “基于 协议 划分 VYLAN” 统 称 为 “基于 网 络 层 划 分 VLAN”， 也 属于 动态 VLAN 划分 方式 ， 既 可 减少 手 
工 配置 VLAN 的 工作 量 ， 又 可 保证 用 户 自由 地 增加 、 移 动 和 修改 。 基 于 子 网 划分 VLAN 适 用 于 对 安全 性 需 
求 不 高 ， 对 移动 性 和 简易 管理 需求 较 高 的 场景 中 。 
基于 子 网 VLAN 的 划分 思想 是 把 用 户 计算 机 网 卡 上 的 IP 地 址 配置 与 某 个 VLAN 进行 关联 (是 “用 户 计算 
机 网 卡 卫 地 址 ”与 “VLAN” 之 间 的 映射 ， 不 考虑 用 户 计算 机 所 连接 的 交换 机 端口 ) ， 这 样 与 上 节 介 绍 的 基于 
MAC 地 址 划分 VLAN 一 样 ， 也 可 以 实现 无 论 该 用 户 计算 机 连接 在 哪 台 交 换 机 的 三 层 以 太 网 端口 上 都 将 保持 
所 属 的 VLAN 不 变 。 

与 上 节 介 绍 的 基于 MAC 地 址 的 VLAN 划 分 一 样 ， 基 于 IP 子 网 划分 的 VLAN 也 只 处 理 Untagged 数 据 帧 ( 原 
寻 同 6.3 节 介绍 ) ， 所 以 也 只 能 在 Hybird 类 型 端口 上 进行 划分 ， 对 于 Tagged 数 据 帧 处 理 方式 和 基于 端口 划 
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分 的 VLAN 一 样 。 








6.4.1 配置 基于 IP 子 网 划分 VLAN 





























基于 卫 子 网 划分 VLAN 的 基本 原 怪 
改 成 了 IP 地 址 ， 即 当 设 备 端口 














































































































































































































也 与 基于 MAC 地 址 划分 VLAN 的 原理 类 似 ， 只 是 原来 的 MAC 地址 
接收 到 Untagged 数据 帧 时 ， 设 备 根据 数据 帧 的 源 卫 地 址 或 指定 网 段 来 确定 
数据 帧 所 属 的 VLAN， 并 在 数据 帧 中 添加 对 应 的 VLAN ID 标签 ， 














然后 将 数据 帧 自动 划分 到 指定 VLAN 中 传 










































































输 。 

1. 基本 配置 思路 

基于 IP 子 网 划分 VLAN 的 配置 思路 与 6.3.1 节 介绍 的 基于 MAC 地 址 划分 VLAN 的 配置 思路 基本 一 样 ， 只 是 
把 匹配 的 MAC 地 址 换 成 JP 地址， 具体 如 下 。 

(1) 创建 用 于 与 用 户主 机 MAC 地 址 关联 的 VLAN。 

(2) 在 以 上 创建 的 VLAN 视 图 下 关联 用 户 IP 地 址 ， 建 立 JP 地 址 与 VLAN 的 映射 表 ， 以 确定 哪些 用 户 IP 地 
址 可 划分 到 以 上 创建 的 VLAN 中 。 

(3) 配置 各 用 户 连 接 的 交换 机 三 层 以 太 网 端口 类 型 为 Hybrid， 并 允许 前 面 创建 的 基于 IP 地 址 划分 的 
VLAN 以 不 带 VLAN 标 签 方式 通过 当前 端口 。 因 为 华为 交换 机 的 所 有 二 层 以 太 网 端口 缺 省 都 是 Hybrid 类 型 ， 
所 以 缺 省 情况 下 ， 端 口 类 型 是 不 用 配置 的 。 

(4) (可 选 ) 配置 VLAN 划 分 方式 的 优先 级 ， 确 保 优先 基于 IP 地 址 划分 VLAN。 缺 省 情况 下 是 优先 基 
于 MAC 地 址 划分 VLAN， 但 是 可 通过 配置 改变 优先 划分 的 方式 。 























(5) 在 Hybrid 交换 机 端 
划分 VLAN 功 能 ， 完 成 基于 IP 地 址 划分 VLAN。 
2. 配置 步骤 
基于 IP 地 址 划分 VLAN 的 配置 步骤 与 6.3.1 节 介 
有 些 命令 上 的 差异 而 已 ， 具 体 如 表 6-5 所 示 。 





口上 〈 尘 












































FE 意 ， 不 一 定 要 在 连接 | 




















j 户 计算 机 的 Hybrid 端口 上 ) 使 能 基于 IP 地 址 





























召 的 基于 MAC 地 址 划分 YLAN 的 配置 步骤 基本 一 样 ， 只 是 














表 6-5 基于 IP 子 网 划分 YLAN 的 配置 步骤 

















配置 任务 | 步骤 命令 说 明 | 
system-view 
jy 1 例如 : <HUAWEI> 进入 系统 视图 
有 System-view 
视 图 vlan vlan-id 创建 VLAN 并 进入 VLAN 视图 。 如果 VLAN 已 经 
四 2 例如 : [HUAWEI] 创建 ， 则 直接 进入 VLAN 视图 。 其 他 说 明 参 见 表 
vlan 2 6-3 的 第 2 步 











( 续 表 ) 


配置 IP 地 
址 与 
VLAN 喘 
射 表 项 


配置 
Hybrid 
端口 属性 
并 局 用 基 
于 IP 地址 
VLAN 划 
分 功能 


配置 
Hybrid 
端口 属性 
并 启用 基 
于 IP 地 址 
VLAN 划 
分 功能 





如 果 有 
不 一 样 


ip-subnet-vlan 
[ip-subnet-index ] 

ip ip-address { mask | 
mask-length } 

[ priority priority ] 
例如 : [HUAWEI-vian2] 
ip-subnet-vlan ip 
192.168.0.10 24 


quit 
例如 : [HUAWEI-vlan2] 


interface interface-type 
interface-number 

例如 ; [HUAWEI 
interface 
gigabitethernet 0/0/1 


port link-type hybrid 
例如 : [HUAWEL- 
GigabitEthernet0/0/1] 
port link-type hybrid 
port hybrid Untagged 
vlan { { wan-idi [to 
Van-id2 ] } &<1-10> | all } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
port hybrid Untagged 
vlan2 to 10 

vlan precedence ip- 
subnet-vlan 

例如 : [HUAWEI- 
GigabitEthernetO/O/] 
vlan precedence ip- 





subnet-vlan 


ip-subnet-vlan enable 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
ip-subnet-vlan enable 


将 以 上 创建 的 VLAN 与 用 户 计 算 机 的 IP 地 址 
进行 关联 ， 建 立 映 射 表 项 。 命令 中 的 参数 说 明 
如 下 。 

(1) ip-subnet-index: 可 选 参数 ， 指 定 中 子 网 索引 
值 ， 了 到 值 范围 为 1 一 12 的 整数 。 子 网 索引 可 由 用 
户 指定 , 也 可 由 系统 根据 IP 子 网 划分 VLAN 的 顺 
序 自动 产生 

(2) ip-address: 指定 基于 IP 子 网 划分 VLAN 依据 
的 源 下地 址 或 网 络 地址 ， 为 点 分 十 进 制 格式 

(3) mask: 二 选 一 参数 ， 指 定 以 上 IP 地 址 的 子 网 
掩 码 ， 为 点 分 十 进 制 格式 

(4) mask-length: 二 选 一 参数 ， 指 定 以 上 IP 地 址 
的 子 网 掩 码 前 组 长 度 ， 取 值 范围 为 1 一 32 的 整数 
(5) priority priority: 可 选 参 数 ， 指 定 以 上 IP 地 
址 或 网 段 对 应 的 VLAN 的 802.1p 优先 级 。 取 值 范 
围 是 0 一 7， 值 越 大 优先 级 越 高 。 缺 省 值 是 0。 配 
置 过 程 中 , 可 以 指定 全 地 址 或 网 段 对 应 VLAN 的 
802.1p 优先 级 ， 用 于 当 交 换 机 阻塞 时 ， 优 先 发 送 
优先 级 高 的 数据 包 。 

缺 省 情况 下 ， 没 有 配置 基于 IP 子 网 划分 VLAN， 
可 用 undo ip-subnet-vlan { ip-subnet-index [ to 
轨 -subnet-end ] | all } 命 令 删 除 基 于 IP 子 网 划分 的 
指定 VLAN 


多 个 IP 地 址 与 VLAN 映射 表 项 ， 则 重复 第 3 步 。 但 要 注意 ， 如 果 映 射 的 VLAN 
， 则 一 定 要 在 对 应 的 VLAN 视图 下 配置 映射 


退去 VLAN 视图 ， 返 回 系 统 视图 


键入 要 采用 基于 TP 地 址 划分 VLAN 的 交换 机 端口 
(注意 : 可 以 是 Eth-Trunk 口 ， 且 包括 但 不 限于 连 
接 用 户 计 算 机 的 端口 ) 的 接口 类 型 和 接口 编号 。 
接口 类 型 和 接口 编号 之 间 可 以 输入 空格 也 可 以 不 
输入 空格 


(可 选 ) 配 置 以 上 二 层 以 太 网 端口 类 型 为 Hybrid 类 
型 。 有 关 其 他 方面 的 说 明 参 见 表 6-4 的 第 6 步 


配置 以 上 Hybrid 类 型 端口 以 Untagged 方式 加 入 指 
定 的 VLAN 中 ， 即 指定 这 些 VLAN 帧 将 以 
Untagged 方式 【去掉 帧 中 原来 的 VLAN 标签 ) 通 
过 接口 向 外 〔 即 向 对 端 设备 发 送 ， 不 是 向 本 地 交 
换 机 内 部 发 送 ) 发 送出 去 。 其 他 说 明 人 参见 表 6-3 的 
第 5 步 


(可 选 ) 指定 优先 基于 IP 地 址 划分 VLAN 
缺 省 情况 下 是 优先 基于 MAC 地 址 划分 VLAN, 可 
用 undo vlan precedence 命令 恢复 该 配置 为 缺 省 
的 基于 MAC 地 址 划分 VLAN 


在 以 上 Hybird 端口 上 使 能 基于 IP 地 址 划分 
VLAN。 这 样 ， 当 端口 收 到 Untagged 数据 帧 时 会 
以 数据 帧 的 源 卫 地 址 去 匹配 IP-VLAN 表 项 。 如 果 
匹配 成 功 ， 则 按照 匹配 到 的 VLAN ID 进行 转发 ; 
如 果 匹 配 失败 ， 则 按照 优先 级 选择 其 他 匹配 原则 
继续 进行 匹配 。 而 当 收 到 Tagged 数据 帧 时 ， 则 按 
照 基 于 端口 划分 VLAN 进行 转发 

缺 省 情况 下 ,未 使 能 基于 IP 地 址 划分 VLAN 功能 ， 
可 用 undo mac-vlan enable 命令 取消 该 端口 的 
MAC VLAN 功能 





对 其 他 需要 采用 基于 IP 地 址 划分 VLAN 的 Hybrid 端口 重复 以 上 第 5 一 9 步 











【示例 1】 将 10.10.10.0/24 网 段 与 YLAN 3 进行 关联 ， 采 用 基于 IP 子 网 的 方式 划分 VLAN， 使 得 源 耻 地 
址 在 该 网 段 的 报 文 可 以 分 发 到 VLAN 3 中 传输 。 
<HUAWEI>system-view 








[HUAWEI] vlan 3 
[HUAWEI-vlan3] ip-subnet-vlan ip 10.10.10.0 255.255.255.0 
【示例 2】 配 置 GE0/0/1 端 口 优先 采用 基于 IP 子 网 的 VLAN 划 分 方式 ， 并 使 能 基于 IP 子 网 划分 VLAN 的 功 

















Pei 
CC 


<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] vlan precedence ip-subnet-vlan 
[HUAWEI-GigabitEthernet0/0/1] ip-subnet-vlan enable 





6.4.2 基于 IP 子 网 划分 VLAN 配 置 示例 





























本 示例 拓扑 结构 如 图 6-9 所 示 ， 假 设 该 公司 拥有 多 种 业务 ， 如 IPTV、VoIP、Internet 等 ， 而 且 使 用 每 种 
业务 的 用 户 卫 地址 网 段 各 不 相同 。 为 了 便于 管理 ， 现 需要 将 同一 种 类 型 业务 划分 到 同一 VLAN 中 ， 不 同类 型 
的 业务 划分 到 不 同 VLAN 中 ， 分 别 为 VLAN 100、VLAN 200 和 VLAN 300。 当 Switch 接收 到 这 些 业务 数据 帧 
时 根据 帧 中 封装 的 源 IP 地 址 网 段 的 不 同 自动 为 这 些 帧 添加 对 应 的 VLAN ID 标签 ， 最 终 实现 通过 不 同 的 
VLAN ID 分 流 到 不 同 的 远 端 服务 器 上 以 实现 业务 互通 。 
























































GE1/0/1 










SwitchA 


192.168.1.2 
/24 192.168.2.2 
/24 







192.168.3.2 
/124 


图 6-9 基于 IP 子 网 的 VLAN 划 分 配置 示例 拓扑 结构 









































1. 配置 思路 分 析 
本 示例 其 实 与 6.3.2 节 介 绍 的 基于 MAC 地 址 划分 VLAN 的 配置 示例 差不多 ， 主 要 不 同 有 两 点 : 一 是 这 是 
基于 了 P 子 网 进行 的 VLAN 划 分 ， 二 是 从 Switch 上 出 去 的 数据 帧 要 流向 不 同 的 服务 器 ， 这 就 需要 在 不 同 服务 器 
所 连接 的 交换 机 端口 上 配置 仅 允 许 某 一 个 VLAN 的 数据 帧 通过 。 
同样 ， 本 示例 也 可 以 仅 在 Switch 上 配置 ， 使 Switch A 上 的 配置 全 部 保持 缺 省 配置 即 可 。 
本 示例 的 基本 配置 步骤 如 下 。 
(1) 创建 VLAN， 确 定 每 种 业务 所 属 的 VLAN。 














































































































(2) 关联 IP 子 网 和 VLAN， 实 现 根据 数据 帧 中 的 源 耳 地址 或 指定 网 段 确定 VLAN。 
(3) 以 正确 的 类 型 把 各 端口 加 入 对 应 的 VLAN， 实 现 基于 IP 子 网 的 VLAN 通 过 当前 端口 。 
(4) 配置 VLAN 划 分 方式 的 优先 级 ， 确 保 优 先 选择 基于 IP 子 网 划分 YLAN。 然 后 使 能 基于 IP 子 网 划分 





























VLAN。 
2. 配置 步骤 
本 示例 在 Switch 上 的 具体 配置 步骤 如 下 。 
(1) 为 各 业务 用 户 创建 所 需 的 VLAN， 即 在 Switch 上 创建 VLAN100、VLAN200 和 VLAN300。 
<HUAWEI>system-view 
[HUAWEI] vlan batch 100 200 300 
(2) 关联 IP 子 网 与 YLAN， 并 设置 不 同 的 优先 级 〈 其 实 优 先 级 是 可 选 配置 ) 。 
[HUAWEI] vlan 100 
[HUAWEI-vlan100] ip-subnet-vlan 1 ip 192.168.1.2 24 priority 2 !--- 在 Switch 上 配置 VLAN100 与 IP 地 
址 192.168.1.2/24 关 联 ， 优 先 级 为 2 
[HUAWEI-vlan100] guit 
[HUAWEI] vlan 200 
[HUAWEI-vlan200] ip-subnet-vlan 1 ip 192.168.2.2 24 priority 3 !--- 在 Switch 上 配置 VLAN200 与 IP 地 
址 192.168.2.2/24 关 联 ， 优 先 级 为 3 
[HUAWEI-vlan200] quit 
[HUAWEI] vlan 300 
[HUAWEI-vlan300] ip-subnet-vlan 1 ip 192.168.3.2 24 priority 4 !--- 在 Switch 上 配置 VLAN300 与 IP 地 
址 192.168.3.2/24 关 联 ， 优 先 级 为 4 
[HUAWEI-vlan300] quit 
(3) 配置 各 端口 类 型 及 允许 加 入 的 VLAN。 注 意 ， 在 启用 基于 IP 子 网 划分 VLAN 的 GE1/0/1 端口 上 
要 采用 Untagged 方式 的 Hybrid 类 型 端口 ， 并 且 要 允许 所 有 业务 的 VLAN 数 据 帧 通过 ， 其 他 连接 各 数据 服务 
器 的 端口 可 以 是 Trunk 端 口 ， 也 可 以 是 Tagged 方 式 的 Hybrid 类 型 端口 〈 本 示例 仅 以 Trunk 类 型 端口 为 例 进行 介 
绍 ) ， 并 且 仅 允 许 对 应 的 VLAN 数 据 帧 通过 。 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid 
[HUAWEI-GigabitEthernet1/0/1] port hybrid Untagged vlan 100 200 300 
[HUAWEI-GigabitEthernet1/0/1] quit 
[HUAWEI] interface gigabitethernet 1/0/2 
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 100 
[HUAWEI-GigabitEthernet1/0/2] quit 
[HUAWEI] interface gigabitethernet 1/0/3 
[HUAWEI-GigabitEthernet1/0/3] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/3] port trunk allow-pass vlan 200 
[HUAWEI-GigabitEthernet1/0/3] quit 
[HUAWEI] interface gigabitethernet 1/0/4 
[HUAWEI-GigabitEthernet1/0/4] port link-type trunk 

























































































































































































































































































[HUAWEI-GigabitEthernet1/0/4] port trunk allow-pass vlan 300 
[HUAWEI-GigabitEthernet1/0/4] quit 
(4) 在 Switch 上 配置 接口 GE1/0/1 优 先 采 用 基于 IP 子 网 进行 VYLAN 划 分 ， 并 使 能 基于 IP 子 网 划分 VLAN 
































[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthermet1/0/1] vlan precedence ip-subnet-vlan 
[HUAWEI-GigabitEthernet1/0/1] ip-subnet-vlan enable 
[HUAWEI-GigabitEthernet1/0/1] quit 
下 面 来 验证 以 上 配置 结果 ， 可 在 Switch 上 执行 display ip-subnet-vlan vlan all 命 令 查 看 基于 IP 子 网 划分 的 
VLAN 信 息 。 从 中 可 以 看 出 ， 已 按 配置 正确 进行 了 VLAN 划 分 。 
[HUAWEI] display ip-subnet-vlan vlan all 





















































Vlan Index IpAddress SubnetMask Priority 
100 1 192.168.1.2 255.255.255.0 

200 1 192.168.2.2 255.255.255.0 

300 1 192.168.3.2 255.255.255.0 4 


ip-subnet-vlan count: 3 total count: 3 








6.5 基于 协议 划分 VLAN 





















































基于 协议 划分 VLAN 是 指 基于 数据 帧 中 的 上 层 〔( 网 络 层 ) 协议 类 型 进行 的 VLAN 划 分 。 与 前 面 介绍 的 
基于 MAC 地 址 划分 的 VLAN 和 基于 IP 子 网 划分 的 VLAN 一 样 ， 基 于 协议 划分 的 VLAN 也 只 处 理 Untagged 数 据 
帧 ， 且 也 只 能 在 Hybrid 端 口上 进行 配置 ， 对 于 Tagged 数 据 帧 的 处 理 方式 和 基于 端口 的 VLAN 一 样 。 

基于 协议 VLAN 的 划分 思想 是 把 用 户 计算 机 上 运行 的 网 络 层 协议 与 某 个 VLAN 进行 关联 (是 “用 户 计 
算 机 网 络 层 协议 ”与 “VLAN" 之 间 的 映射 ， 不 考虑 用 户 计算 机 所 连接 的 交换 机 端口 ) ， 这 样 也 可 以 实现 无 论 
该 用 户 计算 机 连接 在 哪 台 交换 机 的 二 层 以 太 网 端口 上 都 将 保持 其 所 属 的 VLAN 不 变 。 启 用 基于 协议 划分 
VLAN 功能 后 ， 当 交换 机 端口 接收 到 Untagged 帧 时 ， 先 识别 帧 的 协议 模板 ， 然 后 确定 数据 帧 所 属 的 VLAN。 
如 果 端 口 配置 了 属于 某 些 协议 YLAN， 且 数据 帧 的 协议 模板 匹配 其 中 某 个 协议 YLAN， 则 给 数据 帧 打上 该 协 
议 VLAN 标 签 。 如 果 端 口 原来 配置 了 属于 某 些 协议 YLAN， 但 某 次 到 达 的 数据 帧 的 协议 模板 和 所 有 协议 
VLAN 都 不 匹配 ， 则 给 数据 帧 打上 端口 PVID 的 VLAN 标 签 ( 这 点 比较 特殊 ， 要 充分 注意 ) 。 
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6.5.1 配置 基于 协议 划分 VLAN 























基于 协议 划分 VLAN 与 上 节 介 绍 的 基于 IP 子 网 划分 VLAN 都 属于 基于 网 络 层 进 行 的 VLAN 划 分 ， 不 同 的 
是 基于 耳 子 网 划分 VYLAN 仅 根据 网 络 层 中 特定 的 IPv4 协 议 中 的 IPv4 地 址 或 子 网 进行 VLAN 划 分 ， 而 本 节 所 介 
绍 的 基于 协议 划分 VLAN 是 根据 不 同 网 络 层 协议 〈 包 括 IPv4、IPX、AppleTalk 等 协议 ) 进行 的 VLAN 划 分 ， 
不 是 根据 具体 类 型 的 网 络 层 地 址 进行 VLAN 划 分 。 

1. 基本 配置 思路 

因为 基于 协议 划分 YLAN 是 根据 不 同 的 网 络 层 协议 进行 的 ， 所 以 需要 事先 创建 不 同 网 络 层 协议 与 

























































































VLAN 的 映射 表 项 ， 
仅 可 以 加 入 特定 的 协议 VLAN 中 。 


口 








同时 还 要 在 交换 机 Hybrid 端 

















口上 配置 与 对 应 的 协议 YLAN 进 行 关联 ， 以 限定 交换 机 端 



































具体 如 下 。 





(1) 创建 各 网 络 层 协议 所 需 关 联 的 VLAN。 
(2) 在 以 上 创建 的 VLAN 视 图 下 关联 用 户 所 用 的 网 络 层 协议 类 型 ， 建 立 网 络 层 协议 与 VLAN 的 映射 





表 ， 以 确定 哪些 用 户 可 划分 到 以 上 创建 的 VLAN 中 。 




















(3) 配置 各 用 户 连 接 的 交换 机 二 层 以 太 网 端 
VLAN 标签 方式 通过 当前 端口 。 
型 ， 所 以 缺 省 情况 下 ， 端 口 类 型 是 不 用 配置 的 。 
口 与 对 应 的 1 
动 为 该 协议 数 扩 


VLAN 以 不 带 











(4) 配置 交换 机 Hybrid 端 
联 的 端口 时 ， 系 统 自 

2. 配置 步骤 
基于 协议 划分 VLAN 的 
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帧 分 配 





口 类 型 为 Hybrid， 并 人 允许 前 本 
为 华为 交换 机 的 所 有 二 层 以 太 网 端口 缺 省 都 是 Hybrid 类 

















[创建 的 基于 协议 划分 的 












































协议 VLAN 进行 关联 。 这 样 ， 当 有 关联 的 协议 数据 帧 进入 所 关 
已 经 划分 好 的 VLAN ID 。 





lL 体 配置 步骤 如 表 6-6 所 示 。 








表 6-6 基于 协议 划分 VLAN 的 配置 步 又 


























命令 


说 明 





system-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





vlan vian-id 
例如 : [HUAWEI] vlan 2 


创建 VLAN 并 进入 VLAN 视图 。 如 果 VLAN 已 经 
创建 ， 则 直接 进入 VLAN 视图 。 其 他 说 明 参 见 表 
6-3 的 第 2 步 





配置 任务 | 步 又 
创建 并 进 | 1 
入 VLAN 

视图 E 
配置 网 络 
层 协议 与 | ， 
VLAN 映 

射 表 项 








protocol-vlan 
[protocol-index ] 
fat|ipv4 | ipv6 | 

ipx { ethernetii | llc | 
raw | snap } | mode 

{ ethernetii-etype 
etype-idl | lle dsap 
dsap-id ssap ssap-id | 
snap-etype etype-id2 } } 
例如 : [HUAWEI-vlan2] 
protocol-vlan ipv4 





将 以 上 创建 的 VLAN 与 特定 的 网 络 层 协议 进行 关 
联 。 命 令 中 的 参数 说 明 如 下 。 

(1) protocol-index: 可 选 参数 ， 指 定 协议 的 索引 值 。 
如 果 不 手 工 配置 协议 索引 值 ， 则 系统 会 根据 协议 与 
VLAN 关联 的 先后 顺序 自动 产生 编号 。 除 S5700SI 
的 取 值 范围 为 0 一 11 的 整数 外 ， 其 他 支持 基于 协议 
划分 VLAN 功能 的 华为 交换 机 的 取 值 范围 均 为 0 一 
15 的 整数 
(2) at: 多 选 一 选项 ， 指 定 基 于 AppleTalk 协议 划 
分 VLAN 
(3) ipv4: 多 选 一 选项 ,指定 基于 IPv4 协议 划分 VLAN 
(4) ipv6: 多 选 一 选项 , 指定 基于 IPv6 协议 划分 VYLAN 
(5) ipx: 多 选 一 选项 , 指定 基于 IPX 协议 划分 VLAN 
(6) ”ethernetii; 多 选 一 选项 ， 指 定 IPX 协议 的 以 
太 网 数据 帧 的 封装 格式 为 Ethernet II 标准 格式 

(7) lle: 多 选 一 选项 ， 指 定 IPX 协议 的 以 太 网 数据 
帧 的 封装 格式 为 802.3/802.2 LLC 标准 格式 

(8) raw: 多 选 一 选项 ， 指 定 IPX 协议 的 以 太 网 数 
据 帧 的 封装 格式 为 Ethernet 802.3 raw 标准 格式 

(9) snap: 多 选 一 选项 ， 指 定 IPX 协议 的 以 太 网 数 
据 帧 的 封装 格式 为 Ethernet 802.3 SAP 标准 格式 








( 续 表 ) 


| 配置 任务 | 步骤 | 全 S  | 


配置 网 络 

层 协议 与 

VLAN 映 
射 表 项 


配置 
Hybrid 端 
口 属性 并 
与 指定 协 
议 VLAN 
进行 关联 


配置 


Hybrid 端 
口 属 性 并 


与 指定 协 


议 VLAN 


protocol-vlan 
[protocol-index ] 

{at |ipv4 | ipv6 | 

ipx { ethernetii | llc | 
raw | snap } | mode 

{ ethernetii-etype 
etvpe-idl | lle dsap 
dsapr-id ssap ssap-id | 
snap-etype etype-id2 } } 
例如 : [HUAWEI-vlan2] 
protocol-vlan ipv4 


如 果 有 多 个 网 络 层 协议 与 VLAN 
VLAN 不 一 样 ， 则 一 定 要 在 对 应 的 VLAN 视图 下 配置 映射 


(10) ethernetii-etype etvpe-idl: 多 选 一 参数 ， 指 
定 匹配 Ethernet II 封装 格式 的 协议 类 型 值 ， 取 值 
范围 是 600 一 ETF ( 除 800、809b、8137、86dd 以 
外 的 值 )， 

(11) lle dsap dsap-id ssap ssap-id: 多 选 一 参数 ， 指 
定 匹 配 802.3/802.2 LLC 封装 格式 的 目的 服务 访问 
点 (DSAP》 和 源 服务 访问 点 (SSAP)， 取 值 范围 
均 为 0 一 他 

(12) snap-etype etype-id2: 多 选 一 参数 ， 指 定 匹 配 
Ethernet 802.3 SAP 封装 格式 的 协议 类 型 值 ， 取 值 
范围 是 600 一 PT ( 除 800、809b、8137、86dd 以 
外 的 值 ) 

缺 省 是 没有 建立 任何 网 络 层 协议 与 VLAN 关联 的 ， 
可 用 undo protocol-vlan { all | pyorocoLindex7 [ to 
protocol-index2 ] } 命 令 删 除 基于 协议 划分 的 指定 
VLAN- 二 选 一 选项 all 用 来 指定 删除 所 有 基于 协 
议 划分 的 VLAN, 二 选 一 参数 profocol-indexy [to 
Protocol-index2 ] 用 来 指定 要 删除 VLAN 所 对 应 
的 起 始 和 终止 协议 索引 值 ， 取 值 范围 是 0 一 15 的 
整数 
映射 表 项 ， 则 乖 复 第 3 步 。 但 要 注意 ， 如 果 映 射 的 








quit 

例如 : [HUAWEI-vlan2] 
interface interface-type 
inmterface-number 

例如 : [HUAWEJ]] 
interface gigabitethernet 
0Q/0/1 


退去 VLAN 视图 ， 返 回 系 统 视图 


键入 要 采用 基于 协议 划分 VLAN 的 交换 机 端口 的 
接口 类 型 和 接口 编号 (注意 :可 以 是 Eth-Trunk 口 )。 
接口 类 型 和 接口 编号 之 间 可 以 输入 室 格 也 可 以 不 
输入 空格 











port link-type hybrid 
例如 : [HUAWEI- 
GigabitEthermnet0/0/1] 
port link-type hybrid 
port hybrid Untagged 
vlan { { vian-idl [to 
Vlan-id?2 ] } &<1-10> |all } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] port 
hybrid Untagged vlan 2 
to 10 


protocol-vlan vlan vian-id 
{all | protocol-index! 
[to protocol-index2 ] } 

[ priority priority ] 

例如 : [HUAWEI- 
GigabitEthernetO/O/1] 
protocol-vlan vian 20 


protocol-vlan vlan vian-id 
{ all | protocol-index! 
[to protocol-index2 ] } 

[ priority priority ] 

例如 :; [HUAWEI- 
GigabitEthernet0/0/1] 
protocol-vlan vlan 20 





配置 以 上 二 层 以 太 网 端口 类 型 为 Hybrid 类 型 ,其 他 
说 明 参 见 表 6-4 的 第 6 步 


配置 以 上 Hybrid 类 型 端口 以 Untagged 方式 加 入 指 
定 的 VLAN 中 , 即 指定 这 些 VLAN 帧 将 以 Untagged 
方式 (去掉 帧 中 原来 的 VLAN 标签 ) 通过 接口 向 外 
《 即 向 对 端 设 备 发 送 , 不 是 向 本 地 交换 机 内 部 发 送 》 
发 送出 去 。 其 他 说 明 参 见 表 6-3 的 第 5 步 


把 特定 索引 号 的 协议 VLAN 与 特定 交换 机 端口 进 
行 关联 ， 以 限定 交换 机 端口 可 以 加 入 的 协议 
VLAN， 主 要 应 用 在 根据 不 同 协议 类 型 采用 不 同 传 
输 路 径 的 网 络 中 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
(1) wan-id: 指定 以 上 Hybrid 端口 要 关联 的 协议 
VLAN 

(2) al: 二 选 一 选项 ， 指 定 要 与 所 有 协议 索引 
值 对 应 的 , 并 由 参数 wan-id 指定 的 协议 VLAN 
关联 


(3) protocol-index1[ to protocol-index2 ]: 二 选 一 参 
数 ， 指 定 仅 与 指定 协议 索引 起 始 值 和 终止 值 范围 
内 ， 由 参数 vian-id 指定 的 协议 VLAN 关联 ， 取 值 
范围 均 为 0 一 15 的 整数 。 如 果 不 手工 配置 协议 索引 
值 , 则 系统 会 根据 协议 与 VLAN 关联 的 先后 顺序 自 
动产 生 编 号 

(4) priority priority:， 可 选 参数 ， 指 定 所 关联 的 以 
上 协议 VLAN 的 802.1p 优先 级 

可 用 undo protocol-vlan { all | vlan vian-id { all | 
Piotocol-indexr1 [to protocol-index2 ] } } 命 令 取消 以 
上 端口 与 指定 协议 VLAN 的 关联 








对 其 他 需要 采 上 














【示例 1】 把 IPv4 协 议 报 文 划 分 到 VLAN 3 中 。 


<HUAWEI>system-view 


[HUAWEI] vlan 3 





基于 协议 划分 VLAN 的 Hybrid 端口 重复 以 上 第 5~8 步 


[HUAWEI-vlan3] protocol-vlan ipv4 
【示例 2】 配置 GE0/0/1 端 口 关联 协议 VLAN 2 协议 的 索引 值 为 0， ， 即 相当 于 把 GE0/0/1 端 口 加 入 协 





议 VLAN 2 中 。 
<HUAWEI>system-view 


[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] protocol-vlan vlan 20 





6.5.2 基于 协议 划分 VLAN 的 配置 示例 











本 示例 拓扑 结构 如 图 6-10 所 示 。 
务 所 采用 的 协议 各 不 相同 。 为 了 便 









































于 管理 ， 减 少 人 工 丁 











现 假 设 该 公司 拥有 多 种 业务 ， 如 IPTV、VoIP、Tnternet 等 ， 而 且 每 种 业 





置 VYLAN 的 工作 量 ， 现 需要 将 同一 种 类 型 业务 划分 























到 同一 VLAN 中 ， 不 同类 型 的 业务 划分 到 不 同 VLAN 中 。 本 示例 中 ，VLAN 10 中 的 用 户 采 用 IPv4 协 议 与 远 端 



































用 户 通 信 ， 而 VLAN 20 中 的 用 户 采 月 

















远 端 服务 器 上 以 实现 业务 互通 。 























1. 配置 思路 分 析 








本 示例 中 需要 创建 两 个 协议 VLAN: VLAN 10 和 VLAN 20， 分 别 对 应 于 IPv4 和 IPv6， 所 以 事先 要 创建 
这 两 个 VLAN， 然 后 分 别 与 对 应 的 协议 进行 关联 。 除 此 之 外 ， 还 要 在 
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6-10 基于 协议 划分 YLAN 配 置 示例 拓扑 结构 














VLAN 通 过 ， 并 与 指定 的 协议 VLAN 进 行 关联 。 











与 本 章 前 
































有 IPV6 协 议 与 远 端 服务 器 通信 ， 现 要 通 




















过 不 同 的 VLAN ID 分 流 到 不 同 的 











E 对 应 的 Hybrid 端口 上 允许 对 应 的 协议 


四 介绍 的 基于 MAC 地 址 划分 VLAN 和 基于 IP 子 网 划分 VLAN 的 配置 示例 一 样 ， 本 示例 也 仪 需 


在 Switch 上 配置 ， 而 保持 SwitchA 上 全 部 为 缺 省 配置 。 其 基本 配置 思路 如 下 。 
(1) 创建 VLAN， 确 定 每 种 业务 所 属 的 协议 VLAN。 
(2) 关联 协议 和 VLAN， 实 现 根据 端口 接收 到 的 数据 帧 所 属 的 网 络 层 协议 类 型 给 数据 帧 分 配 不 同 的 





VLANID。 




































































(3) 配置 端口 加 入 VLAN， 并 允许 基于 协议 的 VLAN 通 过 当前 端口 。 
(4) 关联 接口 和 对 应 的 协议 YLAN， 使 有 关联 的 协议 进入 关联 的 接口 时 ， 系 统 自动 为 该 协议 分 配 已 经 
划分 好 的 VLAN ID。 
2. 配置 步骤 
本 示例 在 Switch 上 的 具体 配置 步骤 如 下 。 
(1) 创建 所 需 的 协议 VLAN 10 和 VLAN 20。 
<HUAWEI>system-view 
[HUAWEI] vlan batch 10 20 
(2) 配置 网 络 层 协议 与 以 上 协议 YLAN 的 关联 。 
[HUAWEI] vlan 10 
[HUAWEI-vlan10] protocol-vlan ipv4 
[HUAWEI-vlan10] guit 
[HUAWEI] vlan 20 
[HUAWEI-vlan20] protocol-vlan ipv6 
[HUAWEI-vlan20] guit 
(3) 配置 端口 类 型 及 允许 通过 的 协议 YLAN。 注 意 ， 与 SwitchA 连 接 的 GE1/0/1 端 口 要 允许 所 有 的 协议 
VLAN 通过 ， 并 且 必 须 是 Hybrid 类 型 ， 连 接 各 业务 服务 器 的 交换 机 端口 可 以 是 带 VLAN 标 签 的 Hybrid 或 
Trunk 端 口 类 型 ， 但 仅 允 许 对 应 的 协议 VLAN 通 过 。 
!---- 配 置 GE1/0/1 端 口 为 Hybrid 类 型 ， 并 同时 允许 VLAN 10 和 VLAN 20 通 过 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid 
[HUAWEI-GigabitEthernet1/0/1] port hybrid Untagged vlan 10 20 
[HUAWEI-GigabitEthernet1/0/1] quit 
!---- 配 置 GE1/0/2 端 口 为 Trunk 类 型 ， 但 仅 允 许 VLAN 10 通 过 
[HUAWEI] interfacegigabitethernet 1/0/2 
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 
[HUAWEI-GigabitEthernet1/0/2] quit 
!---- 配 置 GE1/0/3 端 口 为 Trunk 类 型 ， 但 仅 允 许 VLAN 20 通 过 
[HUAWEI] interfacegigabitethernet 1/0/3 
[HUAWEI-GigabitEthernet1/0/3] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/3] port trunk allow-pass vlan 20 
[HUAWEI-GigabitEthernet1/0/3] quit 
(4) 配置 GE1/0/1 端 口 关联 所 需 的 协议 VLAN， 并 为 它们 指定 不 同 的 优先 级 。 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthemet1/0/1] protocol-vlan vlan 10 all priority 5”!--- 配 置 GE1/0/1 端 口 与 YLAN10 关 
联 ， 优 先 级 是 5 
[HUAWEI-GigabitEthermet1/0/1] protocol-vlan vlan20 all priority 6 !---- 配 置 GE1/0/ 端 口 与 YLAN20 关 
联 ， 优 先 级 是 6 
[HUAWEI-GigabitEthernet1/0/1] quit 
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面 可 以 通过 执行 display protocol-vlan interface all 命令 查看 端口 关联 协议 VLAN 的 配置 人 
以 看 出 ， 对 应 协议 YLAN 已 成 功 配置 。 
<HUAWEI >display protocol-vlan interface all 

















百 
























































































































































言 息 。 从 中 可 


























Interface VLAN Index Protocol Type Priority 

GigabitEthernet1/0/1 10 0 ipv4 5 

GigabitEthernet1/0/1 20 0 ipv6 6 

6.6 基于 策略 划分 VLAN 

基于 策略 划分 YLAN 也 可 称 为 Policy VLAN， 是 根据 一 定 的 策略 进行 VLAN 划 分 的 ， 可 实现 用 户 终端 的 
即 插 即 用 功能 ， 同 时 可 为 终端 用 户 提 供 安 全 的 数据 隔离 。 这 里 的 策略 主要 包括 “基于 MAC 地 址 +IP 地 址 ”组 合 
策略 和 “基于 MAC 地 址 +IP 地 址 + 端口 ”组合 策略 两 种 。 
6.6.1 配置 基于 策略 划分 VLAN 

基于 策略 划分 VLAN 是 指 在 交换 机 上 绑 定 终端 的 MAC 地 址 、IP 地 址 或 交换 机 端口 ， 并 与 VLAN 关 联 ， 以 
证 实 只 有 符合 条 件 的 终端 才能 加 入 指定 VLAN。 符 合 策略 的 终端 才 可 以 加 入 指定 的 VLAN， 相 当 于 采用 了 IP 
地 址 与 MAC 地 址 双重 绑 定 ， 甚 至 再 加 上 与 所 连接 的 交换 机 端口 的 三 重 绑 定 ， 一 旦 配置 就 可 以 禁止 用 户 修改 
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人 P 地 址 或 MAC 地 址 ， 甚 至 禁止 改变 所 连接 的 交换 机 端口 


不 了 指定 的 网 络 资源 。 





》 





















































































































































































































































否则 会 导致 终端 从 指定 VLAN 中 退出 ， 可 能 访问 





















































































































































与 前 面 介绍 的 基于 MAC 地 址 、 基 于 卫 子 网 、 基 于 协议 划分 的 VLAN 一 样 ， 基 于 策略 划分 的 YLAN 也 只 处 
理 Untagged 数 据 帧 〈 所 以 也 只 能 在 Hybrid 端口 上 进行 配置 ) ， 对 于 Tagged 数据 帧 处 理 方式 和 基于 端口 划分 
的 VLAN 一 样 。 当 设备 端口 接收 到 Untagged 数 据 帧 时 ， 设 备 根 据 用 户 数据 帧 中 的 “ 源 MAC 地 址 和“ 源 JP 地 
址 ”字段 值 与 交换 机 上 配置 的 ”MAC 地址 和 IP 地 址 *”， 或 者 “MAC 地 址 和 TP 地 址 + 交换 机 端口 ”组合 策 略 来 确定 
数据 帧 所 属 的 VLAN， 然 后 将 数据 帧 自动 划分 到 指定 VLAN 中 传输 。 

1. 基本 配置 思路 

基于 策略 划分 VLAN 的 基本 配置 思路 比较 简单 ， 具 体 如 下 。 

(1) 创建 各 策略 所 需 关 联 的 VLAN。 

(2) 在 以 上 创建 的 VLAN 视图 下 关联 不 同 的 策略 ， 建 立 特定 策略 与 VLAN 的 映射 表 ， 以 确定 哪些 用 
户 可 划分 到 以 上 创建 的 VLAN 中 。 

(3) 配置 各 用 户 连 接 的 交换 机 二 层 以 太 网 端口 类 型 为 Hybrid， 并 允许 前 面 创建 的 基于 策略 划分 的 
VLAN 以 不 带 VLAN 标签 方式 通过 当前 端口 。 因 为 华为 交换 机 的 所 有 二 层 以 太 网 端口 缺 省 都 是 Hybrid 类 
型 ， 所 以 缺 省 情况 下 ， 端 口 类 型 是 不 用 配置 的 。 

2. 配置 步骤 
基于 策略 划分 VLAN 的 具体 配置 步骤 如 表 6-7 所 示 。 












































表 6-7 基于 策略 划分 VLAN 的 配置 步 又 

















| 配置 任务 | 落 呈 | mS | 


system-view 
3 例如 ; <HUAWEI> 进入 系统 视图 
创建 并 进 System-view 


NHN 2 创建 VLAN 并 进入 VLAN 视图 , 如 果 VLAN 已 经 
a 全 UAWEI wlan 2 | 创建 ， 则 直接 进入 VLAN 视图 。 其 他 说 明 参见 表 
6-3 的 第 2 步 
将 以 上 创建 的 VLAN 与 特定 的 策略 进行 关联 。 命 
令 中 的 参数 说 明 如 下 。 
(1) mac-address mac-address; 指定 策略 VLAN 
依据 的 源 MAC 地 址 ， 格 式 为 H-H-H。 其 中 H 
为 4 位 的 十 六 进 制 数 ， 可 以 输入 1 一 4 位 ， 如 
00e0、fe01。 当 输入 不 足 4 位 时 ， 表 示 前 面 的 几 
位 为 0， 如 输入 e0， 等 同 于 00e0。MAC 地 址 不 
可 设置 为 0000-0000-0000、FFFF-FFFF-FFFF 和 
组 播 地 址 
(2) ip 轨 -address: 指定 策略 VLAN 依据 的 源 IP 
地 址 ， 格 式 为 点 分 十 进 制 格式 
policy-vlan mac-address | (3) interface interface-type interface-number: 可 选 
mac-address ip ip-address | 参数 ， 指 定 应 用 MAC 地 址 和 IP 地 址 组 合 策略 的 
[interface interface-type | 交换 机 端口 (注意 ， 可 以 是 Eth-Trunk 口 )， 如 果 
interface-number ] 指定 该 参数 , MAC 地 址 和 JP 地 址 组 合 策略 只 应 用 
二 [priority priority ] 到 指定 VLAN 中 指定 的 端口 上 ， 否 则 MAC 地 址 
本 四 集 赂 例如 [HUAWEI-vian2] | 和 了 地 址 组 合 策略 将 应 用 到 指定 VLAN 中 所 有 的 
: 汉 VLAN policy-vlan mac-address | 端口 上 
映射 表 项 1-1-Lip 10.10.10.1 priority7 | (4) priority priority: 可 选 参数 ， 指 定 以 上 策 
略 所 对 应 的 VLAN 的 802.1p 优先 级 ， 取 值 范 
围 为 0 一 7 的 整数 ， 值 越 大 优先 级 越 高 。 缺 省 
值 是 0 
缺 省 情况 下 ， 没 有 配器 基于 策略 划分 VLAN， 可 用 
undo policy-vlan { all | mac-address mac-address ip 
ip-address [ interface interface-type interface-number |] } 
命令 删除 基于 策略 划分 的 指定 VLAN。 二 选 一 选 
项 all 用 来 指定 删除 所 有 基于 策略 划分 的 VLAN。 
如 果 要 删除 被 设置 为 策略 VLAN 的 VLAN， 需 要 
先 执行 以 上 undo policy-vian 命令 删除 Policy 
VLAN 后 ， 才 能 够 噜 除 该 VLAN 
如 果 有 多 个 策略 与 VLAN 映射 表 项 ， 则 重复 第 3 步 。 但 要 注意 ， 如 果 映 射 的 VLAN 不 
一 样 ， 则 一 定 要 在 对 应 的 VLAN 视图 下 配置 映射 


quit a 泊 疝 
例如 ，[HUAWELvlan2] | 退去 VLAN 视图 ， 返 回 系统 视图 


配置 interface interface-type 键入 要 采用 基于 策略 划分 VLAN 的 交换 机 端口 的 

H 二 interface-number 接口 类 型 和 接口 编号 (注意 :可 以 是 Eth-Trunk 
问鼎 属性 例如 : [HUAWEU interface | 口 )。 接 口 类 型 和 接口 编号 之 间 可 以 输入 空格 也 可 
并 允许 对 gigabitethernet 0/0/1 以 不 输入 空格 
应 的 策 路 port link-type hybrid | 

VLAN 例如 : [HUAWEI- 配置 以 上 三 层 以 太 网 端口 类 型 为 Hybrid 类 型 。 其 

通过 GigabitEthernet0/0/1] 他 说 明 参 见 表 6-4 的 第 6 步 

port link-type hybrid 











| 二 任务 | 步 沸 | 合 | | 


port hybrid Untagged 配置 以 上 Hybrid 类 型 端口 以 Untagged 方式 加 入 指 
Hybrid VIA [要 定 的 VLAN 中 , 即 指定 这 些 VLAN 帧 将 以 Untagged 


端口 属性 Vian-id2 ] } &<1-10> |all} Ep ee 二 好 ) 通过 接口 向 
A 方式 (去 掉 帧 中 原来 的 VLAN 标签 ) 通过 接口 向 外 


ns < 即 向 对 端 设备 发 送 ， 不 是 向 本 地 交换 机 内 部 发 送 ) 
NE GigabitEthernet0/0/1 
应 的 策略 ULedVonDR 10 | 发 送出 去 ， 其 他 说 明 参见 表 6.3 的 第 5 步 


通过 | 对 其 他 需要 采用 基于 策略 划分 VLAN 的 Hybrid 端口 重复 以 上 第 5 一 7 步 
【示例 】 配 置 基 于 组 合 策略 ， 把 MAC 地 址 为 0-1-1，IP 地 址 为 1.1.1.1 的 主机 划分 到 VLAN 2 中 ， 并 配置 
该 VYLAN 的 802.1p 优 先 级 是 7。 
<HUAWEI> system-view 
[HUAWEI] vlan 2 
[HUAWEI-vlan2] policy-vlan mac-address 0-1-1 ip 1.1.1.1 priority 7 




















6.6.2 基于 策略 划分 VLAN 的 配置 示例 








本 示例 拓扑 结构 如 图 6-11 所 示 。 现 要 把 Userl (MAC 地 址 为 1-1-1， 了 P 地 址 为 1.1.1.1) 绑 定 在 SwitchA 的 
GE1/0/1 端 口上 ， 把 User2 (MAC 地 址 为 2-2-2， 卫 地 址 为 2.2.2.2) 绑 定 在 SwitchB 的 GE1/0/1 端 口上 ， 并 把 它 
们 划分 到 VLAN 2 中 ; 把 User3 MAC 地址 为 3-3-3，IP 地 址 为 3.3.3.3) 绑 定 在 SwitchA 的 GE1/0/2 端 口上 ， 把 
User4 MAC 地 址 为 4-4-4， 卫 地 址 为 4.4.4.4) 绑 定 在 SwitchB 的 GE1/0/2 端 口上 ， 并 把 它们 划分 到 VLAN 3 
中 
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图 6-11 基于 策略 划分 VYLAN 配 置 示 例 拓扑 结构 
































1. 配置 思路 分 析 
基于 策略 划分 VLAN 的 配置 很 简单 ， 参 照 6.6.1 节 介绍 的 具体 配置 步骤 可 以 得 出 本 示例 的 以 下 3 方面 的 基 
本 配置 任务 。 

(1) 创建 所 需 的 策略 VLAN。 

(2) 在 对 应 的 VLAN 视 图 下 配置 基于 用 户 计算 机 的 MAC 地 址 、IP 地 址 的 组 合 策略 和 应 用 策略 的 交换 机 















































端口 











(3) 配置 应 用 组 合 策略 的 Hybrid 类 型 交换 机 端口 允许 所 加 入 的 VLAN 通 过 。 
2. 配置 步骤 
通过 以 上 配置 思路 分 析 后 ， 下 面 的 具体 配置 就 比较 简单 了 。 
SwitchA 上 的 配置 

(1) 创建 所 需 的 策略 协议 YLAN 2 和 VLAN 3。 
<HUAWEI>system-view 
<HUAWEI>sysname SwitchA 
[SwitchA] vlan batch 2 3 

(2) 配置 MAC 地 址 、 耳 地址 和 交换 机 端口 组 合 策略 与 以 上 策略 VYLAN 的 关联 ， 并 为 两 个 协议 VLAN 设 
置 不 同 的 802.1q 的 优先 级 值 。 

[SwitchA] vlan 2 
[SwitchA -vlan2] policy-vlan mac-address 1-1-1 ip 1.1.1.1 gigabitEthernet1/0/1priority 7 
[SwitchA -vlan2] quit 
[SwitchA] vlan 3 
[SwitchA -vlan20] policy-vlan mac-address 3-3-3 ip 3.3.3.3 gigabitEthernet1/0/2priority 5 
[SwitchA-vlan20] guit 
(3) 配置 交换 机 端口 类 型 并 允许 对 应 的 策略 VLAN 通 过 。 
[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA -GigabitEthernet1/0/1] port link-type hybrid 































































































[SwitchA -GigabitEthernet1/0/1] port hybrid Untagged vlan 2 
[SwitchA -GigabitEthernet1/0/1] quit 

[SwitchA] interface gigabitethernet 1/0/2 

[SwitchA -GigabitEthernet1/0/2] port link-type trunk 
[SwitchA -GigabitEthernet1/0/2] port trunk allow-pass vlan 3 
[SwitchA -GigabitEthernet1/0/2] quit 

SwitchB 上 的 配置 : 
SwitchB 上 的 配置 与 SwitchA 上 的 配置 基本 类 似 ， 有 具体 如 下 。 

<HUAWEI>system-view 

<HUAWEI>sysname SwitchB 

[SwitchB] vlan batch 2 3 

[SwitchB] vlan 2 

[SwitchB -vlan2] policy-vlan mac-address 2-2-2 ip 2.2.2.2 gigabitEthernet1/0/1priority 7 
[SwitchB -vlan2] quit 

[SwitchB] vlan 3 

[SwitchB -vlan20] policy-vlan mac-address 4-4-4 ip 4.4.4.4 gigabitEthernet1/0/2priority 5 
[SwitchB-vlan20] guit 










































































[SwitchB] interface gigabitethernet 1/0/1 

[SwitchB -GigabitEthermet1/0/1] port link-type hybrid 

[SwitchB -GigabitEthernet1/0/1] port hybrid Untagged vlan 2 

[SwitchB -GigabitEthermet1/0/1] quit 

[SwitchB] interface gigabitethernet 1/0/2 

[SwitchB -GigabitEthernet1/0/2] port link-type trunk 

[SwitchB -GigabitEthernet1/0/2] port trunk allow-pass vlan 3 

[SwitchB -GigabitEthermet1/0/2] quit 

通过 以 上 配置 MAC 地 址 为 1-1-1，IP 地 址 为 1.1.1.1 的 用 户 被 自动 划分 到 VLAN 2 




















并 且 只 能 接 帮 





Ey 















































SwitchA 上 的 GE1/0/1 端 口上 ; MAC 地 址 为 2-2-2，IP 地 址 为 2.2.2.2 的 用 户 也 被 自动 划分 到 VLAN 2 中 ， 并 且 只 


能 接 
动 划 
也 被 






































在 SwitchB 上 的 GE1/0/1 端 口上 上， 否则 将 退出 VLAN 2。 而 MAC 地 址 为 3-3-3，IP 地 址 为 3.3.3.3 的 用 户 被 自 
分 到 VLAN 3 中 ， 并 且 只 能 接 在 SwitchA 上 的 GE1/0/2 端 口上 ; MAC 地址 为 4-4-4，IP 地 址 为 4.4.4.4 的 用 户 
动 划 分 到 VLAN 3 中 ， 并 且 只 能 接 在 SwitchB 上 的 GE1/0/2 端 口上 ， 否 则 将 退出 VLAN 3。 
































































































































6.7 VLAN 配 置 管理 和 上 典型 故障 分 析 与 排除 














VLAN 统 计 信 息 的 reset 命 令 。 然 后 介绍 两 个 常见 的 VLAN 方 面 的 故 障 分 析 与 排除 方法 。 


6.7.1 


























本 节 首 先 要 介绍 一 些 常 见 的 VLAN 管理 命令 ,包括 一 系列 用 来 查看 VLAN 信息 的 display 命 令 ， 清 除 



































常见 VLAN 管 理 命令 

















在 完成 了 以 上 介绍 的 各 种 VLAN 划 分 后 ， 可 通过 在 任意 视图 下 执行 以 下 display 命 令 查 看 对 应 的 VLAN 配 








置信 















































息 ， 验 证 配置 是 否 成 功 。 还 可 通过 以 下 reset 用 户 视图 命令 清除 指定 VLAN 中 的 统计 信息 。 
(1) display vlan : 查看 所 有 VLAN 或 指定 VLAN 的 显示 信息 。 




















QU 


























(2) display mac-vlan {mac-address {all Imac-address } | vlan vlan-id }: 查看 基于 MAC 地 址 划分 VLAN 
的 相关 信息 。 

(3) display ip-subnet-vlan vlan {all | vlan-idl [ to vlan-id2 ] }: 查看 VLAN 上 所 配置 的 IP 子 网 信息 。 

(4) display protocol-vlan vlan { all | vlan-idl [ to vlan-id2 ] }: 查看 VLAN 上 所 配置 的 协议 及 协议 索引 






































信息 。 














(5) display protocol-vlan interface {all | interface-type interface-number }: 查看 接口 关联 基于 协议 
VLAN 划 分 的 配置 信息 。 

(6) display policy-vlan { all | vlan vlan-id }: 查看 策略 VLAN 的 配置 信息 。 

(7) reset vlan vlan-id statistics : 清除 指定 VLAN 的 报 文 统 计 信息 。 























6.7.2 典型 故障 分 析 与 排除 






































在 VLAN 的 配置 与 使 用 中 ， 经 常会 遇 到 以 下 两 种 VLAN 方 面 的 故障 ， 下 面 分 别 介绍 它们 的 故障 原因 及 排 
除 方法 。 

1. VLAN 内 主机 不 能 互通 

我 们 知道 ，VLAN 是 用 来 隔离 用 户 的 二 层 通 信 的 ， 在 不 同 的 VLAN 中 不 能 直接 通信 ， 但 在 同一 VLAN 内 
部 的 用 户主 机 是 可 以 直接 通信 的 。 但 是 有 时 会 出 现 即使 是 同一 VLAN 内 的 用 户主 机 也 不 能 直接 通信 。 

我 们 先 分 析 一 下 造成 同一 VLAN 内 用 户主 机 不 能 互通 的 原因 有 哪些 。 网 络 通信 只 涉及 OSVRM 体 系 结构 
中 的 最 低 三 层 ， 我 们 一 层 层 来 分 析 。 

(1) 物理 层 是 一 切 网 络 通信 的 基础 ， 在 这 层 最 有 可 能 导致 不 能 通信 的 原因 就 是 用 户 所 连接 的 交换 机 端 
没有 启用 ， 造 成 通信 线路 不 通 。 

(2) 再 从 数据 链 路 层 来 分 析 。 同 一 VLAN 是 直接 通过 数据 链 路 层 的 MAC 地 址 进行 寻 址 的 ， 如 果 交 换 机 
错误 地 学 习 了 某 用 户 的 MAC 地 址 ， 则 可 能 造成 不 能 正确 通信 。 或 者 用 户主 机 上 配置 了 错误 的 ARP 静 态 表 
项 ， 导 致 对 应 用 户主 机 不 能 正确 地 与 网 络 连接 。 

(3) 再 从 网 络 层 来 分 析 。 尺 管 在 VLAN 内 部 是 通过 数据 链 路 层 MAC 地 址 进行 寻 址 的 ， 但 来 自 网 络 应 用 
的 用 户 数 据 在 经 过 网 络 层 时 封装 了 源 和 目的 主机 的 IP 地 址 ， 如 果 源 和 目的 用 户主 机 的 他 地 址 不 在 同一 网 段 ， 
则 数据 包 在 到 达 网 络 层 后 直接 发 到 网 关 ， 如 果 网 关 不 通则 两 用 户 自然 不 能 彼此 通信 了 。 

(4) 是 否 配置 了 这 些 用 户 的 隔离 〈 即 MUX VLAN 功 能 
根据 以 上 分 析 ， 可 以 采取 由 简 到 繁 的 步骤 依次 排除 同一 YLAN 内 用 户 不 能 互通 的 故障 。 

(1) 检查 VLAN 内 需要 互通 的 用 户 所 连 交 换 机 端口 的 状态 是 否 为 Up。 可 在 任意 视 图 下 执行 display 
interface interface-type interface-number 命 令 来 查看 。 如 果 接 口 的 状态 为 Down， 请 先 排除 接口 Down 的 故障 ; 
如 果 成 员 口 的 状态 是 Up， 则 继续 下 面 的 步骤 。 

(2) 检查 需要 互通 的 用 户主 机 的 IP 地 址 是 否 在 同一 网 段 ， 如 果 不 是 请 修改 为 同一 网 段 ， 如 果 故 障 仍然 
存在 ， 则 继续 下 面 的 步骤 。 

(3) 检查 设备 上 MAC 地 址 表 项 是 否 正确 。 在 交换 机 上 执行 display mac-address 命 令 检查 设备 学 习 到 的 
MAC 地 址 、MAC 地 址 对 应 接口 、 所 属 VLAN 是 否 正确 ， 如 果 不 正 确 请 在 系统 视图 下 执行 undo mac- 
addressmac-addressvlan vlan-id 命 令 删 除 错 误 的 MAC 地 址 表 项 ， 并 使 交换 机 重新 学 习 指 定 的 MAC 地 址 。 

(4) 执行 完 上 述 操作 后 ， 再 检查 设备 学 习 到 MAC 地 址 、MAC 地 址 对 应 接口 、 所 属 VLAN 是 否 正确 : 
如 果 不 正确 请 继续 执行 本 步 检 查 VLAN 配 置 是 否 正确 ， 如 对 应 的 VLAN 是 否 创建 ， 用 户 端口 是 否 正 确 加 入 了 
同一 个 VLAN 中 等 ， 可 通过 display vlan vlan-id 命 令 来 查看 。 

《5) 如 果 通 过 以 上 排查 ， 用 户 仍 无 法 互相 访问 ， 则 检查 设备 上 是 否 配置 了 
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山口 隔离 。 可 在 系统 视图 下 





所 















































执行 interface interface-type interface-number 进 入 故障 接口 视图 ， 然 后 执行 display this 命 令 查 看 接口 是 否 配置 
了 端口 隔离 。 如 果 配 置 了 端口 隔离 ， 可 使 用 undo port-isolate enable 命 令 取消 端口 隔离 配置 。 







































































(6) 取消 端口 隔离 后 如 果 故 障 依然 存在 ， 则 检查 终端 设备 上 是 否 配置 了 错误 的 静态 ARP 表 项 ， 如 果 终 





端 设 备 上 配置 了 错误 的 静态 ARP 表 项 请 修正 。 
2. VLANIF 接 口 Down 



































另 一 个 典型 VLAN 故 障 现象 就 是 VLANIF 接 口 处 于 Down〔 关 闭 ) 状态 。 但 这 种 故障 比较 好 排除 ， 主 要 














原因 及 排除 方法 如 下 。 





(1) 没有 交换 机 端口 加 入 该 VYLAN 中 : 将 对 应 的 交换 机 端口 加 入 该 VLAN 中 。 


























(2) 加 入 该 VLAN 的 各 交换 机 端口 的 物理 状态 全 是 Down: 排除 加 入 的 交换 机 端口 























Down 状 态 的 原 


上 














Ba 





一 个 VLAN 中 ， 只 要 有 一 个 交换 机 端口 的 物理 状态 是 Up 状态 ， 则 该 VYLANIF 接 口 的 状态 就 是 Up 状态 。 




















(3) VLANIF 接 口 下 没有 配置 IP 地 址 : VLANIE 接 口 是 三 层 逻 辑 接 
在 该 VLANIF 接 口 视图 下 通过 ip address 命 令 为 该 VLANIF 配 置 IP 地 址 。 


















































(4) VLANIF 接 口 被 手动 关闭 : 在 该 VLANIF 接 口 视图 下 ， 执 行 undo shutdown 命 令 玫 




















6.8 GVRP 配 置 与 管理 






























































， 必 须要 配置 IP 地 址 才能 激活 的 。 


F 启 当前 VLANIF 接 





本 章 前 面 介 绍 的 各 种 VLAN 划 分 方法 都 是 基于 手动 来 创建 各 交换 机 上 的 各 个 VLAN 的 ， 这 对 于 网 络 中 交 























换 机 数量 不 多 ， 所 需 划 分 的 VLAN 数 量 也 不 多 时 没什么 问题 ， 但 如 果 网 络 交换 机 数量 较 大 ， 需 要 划分 的 
VLAN 也 比较 多 时 ， 管 理 员 需 承担 较 大 的 VLAN 创 建 工 作 量 ， 而 且 这 些 工作 都 是 低 技术 含量 的 简单 重复 劳 
动 。 为 此 ，VLAN 技 术 的 开发 者 就 想到 了 一 种 自动 注册 方式 ， 对 应 GVRP (GARP VLAN Registration 
Protocol，GARP VLAN 注册 协议 ) 协议 。 通 过 它 只 需 在 其 中 一 个 交换 机 中 创建 所 需 的 VLAN， 然 后 通过 自 




































































动 注册 功能 在 网 络 中 其 他 交换 机 中 自动 创建 所 需 的 VLAN， 大 大 减轻 了 网 络 管理 

















误 出 现 的 机 率 。 






































到 这 些 VLAN， 最 后 各 设备 上 都 存在 VLAN100 一 1000。 








SwitchB 


SwitchA SY Ss SwitchC 


VLAN 100~1000 VLAN 100~1000 














图 6-12 GVRP 应 用 示例 











本 功能 除了 S1700 系 列 交 换 机 外 ， 其 他 华为 系列 交换 机 都 支持 。 
6.8.1 GVRP 基 础 



































E 员 的 工作 量 ， 也 减少 了 错 


























图 6-12 中 所 有 设备 都 使 能 GVRP 功 能 ， 设 备 之 间 相 连 的 端口 均 为 Trunk 端 口 ， 并 允许 所 有 VLAN 通 过 。 
通过 GVRP 只 需 在 SwitchA 和 SwitchC 上 分 别 手工 配置 静态 VLAN100~~VLAN1000， 设 备 SwitchB 就 可 以 学 习 
这 




















GVRP 是 GARP (Generic Attribute Registration Protocol， 通 用 属性 注册 协议 ) 的 一 种 应 用 ， 是 一 种 我 们 

















通常 所 说 的 VLAN 中 继 。 通 过 它 ， 在 一 个 交换 机 上 的 VLAN 配 置 可 以 E 





























动用 





E 网 络 中 其 他 交换 机 上 




















自动 注册 ， 

















可 大 大 减轻 在 不 同 交 换 机 上 重复 创建 VLAN 的 工作 量 。 如 我 们 在 SwitchA 上 创建 了 VLAN 2 一 10 这 9 个 











VLAN， 通 过 GVRP 就 可 
口 的 允许 列表 中 ， 当 然 
GVRP 基 于 GARP 机 千 








会 迅速 传播 到 整个 交换 网 。GVRP 实 现 动态 分 发 、 尘 
配置 量 及 保证 VLAN 配 置 1 主力 
































点 要 特别 注意 。 








启动 GVRP 的 端 

























































































big 




















动 注册 或 加 
维护 设备 动态 YLAN 信 息 。 
册 和 传播 YLAN 信 息 ， 从 而 达到 减少 网 络 管理 员 的 手 








动 创 建 这 9 个 VLAN， 相 应 VLAN 会 自动 添加 到 Trunk 端 
入 个 别 VLAN 配 置 。 









































通过 GVRP 协 议 ， 一 台 设 备 上 的 VLAN 信 息 






















































































用 户 计算 机 所 连接 的 端 











在 交换 机 设备 上 ， 每 一 个 参与 协 
口 对 应 一 个 GVRP 应 用 


























1. VLAN 尘 





注册 和 注销 。 当 端口 接收 到 一 个 VLAN 信息 声明 时 ， 该 端口 
VLAN) ;， 当 端口 接收 到 一 个 VLAN 信息 的 回收 声明 时 ， 该 端口 
注意 的 是 ，GVRP 协 议 的 属性 注册 和 注销 仅仅 是 对 于 接收 到 GVRP 协 议 报 文 的 端口 而 言 











退出 VLAN) 。 但 


的 。 


2. GARP 消 息 类 型 


E 册 和 VLNA 注 销 
GVRP 协 议 可 以 实现 VLAN 信 息 芯 
口 加 入 VLAN; VLAN 的 注 






























































LeaveAll 消 息 。 


(1) Join (加 入 ) 消 
上 息 ;， 当 收 到 其 他 实体 发 来 














议 的 端口 可 以 视 为 一 个 应 上 


并 〈Register) 和 注销 (Deregister) : VLAN 的 注册 指 的 是 将 端 
E 销 指 的 是 将 端口 退出 VLAN。GVRP 协 议 通过 声明 和 回收 声明 实现 VLAN 信息 的 


将 注册 该 声明 中 包含 的 VLAN 信 息 《〈 端 口 加 入 








功能 仅 可 在 连接 网 络 设备 的 Trunk 端 口上 使 能 ， 所 以 
仍 不 能 通过 GVRP 功 能 自动 加 入 到 所 需 的 VLAN 中 ， 仍 需要 采取 手动 配置 。 这 一 

















j 实 体 。 当 GVRP 在 设备 上 启动 的 时 候 ， 每 个 





















































在 GARP 应 用 实体 之 间 的 信息 交互 过 程 ! 


























昌 实 


























本 希望 其 人 








将 注销 该 声明 中 包含 的 VLAN 信息 《端口 




















消息 起 作用 ， 分 别 为 Join 消 息 、Leave 消 息 和 


bh 设备 注册 自己 的 属性 信息 时 ， 对 外 发 送 Join 消 























时 ， 也 会 向 外 发 送 Join 消 息 。 
Join 消 息 又 分 为 JoinEmpty 和 JoinIn 两 种 。JoinEmpty 消 息 | 
册 的 属性 ， 而 JoinIn 消 , 
(2) Leave( 注 

送 Leave 消 息 ; 当 收 到 ] 



































消息 。 


Leave 消 息 也 分 为 LeaveEmpty 和 LeaveIn 两 种 。 

册 的 属性 ，LeavelIn 消 ， 

(3) LeaveAll (全 部 注销 ) 消息 。 每 个 应 月 

时 后 应 用 实体 将 对 外 发 送 LeaveAl 消息 。 

体 上 所 有 的 属性 信息 ， 以 此 来 周期 

然 断 电 ， 并 没有 发 送 Leave 消 息 来 ; 
3. GARP 定 时 器 


















































的 Join 消 息 ， 或 本 设备 静态 配置 


























了 某 些 属性 ， 需 要 其 他 GARP 应 用 实体 进行 注册 















































来 对 外 声明 一 个 发 送 该 声明 者 自己 还 没有 注 
息 用 来 对 外 声明 一 个 发 送 该 声明 者 自己 已 经 注册 的 属性 。 
肖 ) 消息 。 当 一 个 GARP 应 用 实体 希望 


其 他 实体 的 Leave 消 息 注销 某 些 


















































他 设备 注销 自己 的 某 个 属性 时 ， 它 将 对 外 发 
性 ， 或 静态 注销 了 某 些 属性 后 ， 也 会 向 外 发 送 Leave 





























LeaveEmpty 消 息 用 来 注销 一 个 发 送 该 消息 者 自己 没有 注 








E 销 一 个 发 送 该 消 , 














者 自己 已 经 注册 的 属性 。 






























































GARP 协 议 : 














为 了 保证 一 个 GARP 应 上 






































实体 发 送 的 Join 消 ) 



































性 ) ， 则 不 发 送 第 二 到 ， 则 下 








LeaveAl 消 ， 


来 确保 Join 消 


能 够 可 靠 地 传输 到 其 他 应 用 实体 ， 在 发 送 第 一 个 Join 消 ， 
后 将 启动 一 个 Join 定 时 器 ， 如 果 在 一 个 Join 定 时 器 时 间 内 收 到 了 返回 的 JoinIn 消 息 《〈 表 明 已 成 功 注册 某 属 








实体 启动 后 ， 将 同时 启动 LeaveAl 定 时 器 ， 当 该 定时 器 超 
































E 销 所 有 属性 ， 以 使 其 他 应 用 实体 重新 注册 本 实 
地 清除 网 络 中 的 垃圾 属性 〈 例 如 某 个 属性 已 经 被 删除 ， 但 由 于 设备 突 
主 销 此 属性 〉。 
























































用 到 了 Join、Hold、Leave 和 LeaveAll 4 个 定时 器 。 
(1) Join (加入) 定时 器 。Join 定时 器 是 
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— 


可 


区 


(包括 JoinIn 消息 和 JoinEmpty 消 息 























证 
























































了 发 送 一 个 Join 消 息 。 每 个 GVRP 端 口 维护 独立 的 Join 定 时 














器 。 


(2) Hold〈 保 持 ) 定时 器 。Hold 定 时 器 是 上 




















当 在 GARP 应 用 实体 上 配置 属性 或 应 用 实体 接收 到 消息 
待 一 个 Hold 定 时 器 后 再 发 送 消息 ， 
成 最 少数 量 的 报 文 ， 这 权 





造成 网 络 上 报 文 量 大 大 ， 既 不 利于 网 络 的 稳定 ， 也 不 利于 充分 利用 每 个 报 文 的 数据 容量 。 









































来 控制 



































Join 消 息 〈 包 括 JoinIn 消 息 和 JoinEmpty 消 息 ) 和 
Leave 消 息 〈 包 括 LeaveIn 消 息 和 LeaveEmpty 消 息 ) 的 发 送 的 。 









































每 个 端口 维护 独立 的 Hold 定 时 器 ， 但 Hold 定 时 器 上 











(3) Leave (六 
个 应 用 实体 的 Leave 消 息 
属性 的 Join 消 息 (可 






















































































时 不 会 立刻 将 该 消息 传播 到 其 他 设备 ， 而 是 在 等 
设备 将 此 Hold 定 时 器 时 间 段 内 接收 到 的 Join 消 息 或 Leave 消 息 尽 可 能 封装 
可 以 减少 报 文 的 发 送 量 。 



































如 果 没 有 Hold 定 时 器 的 话 ， 每 来 一 个 消息 就 发 送 一 个 ， 











的 值 要 小 于 等 于 














E 销 ) 定时 器 。Leave 定 时 器 是 













































































息 。 









































当 把 此 属性 从 应 用 实体 A 上 删除 
Leave 消 息 之 后 ， 会 发 送 Join 消 息 ， 以 表示 它 还 有 该 属性 。 
上 县， 则 该 属性 仍然 被 保留 ， 不 会 被 注销 。 只 有 当 j 









































来 控 








或 LeaveAl 消息 后 会 启动 Leave 定 
以 是 来 自 其 他 任何 应 用 实体 的 ) ， 属 怕 
为 不 存在 某 个 属性 而 发 送 了 Leave 消息 ， 并 不 代表 所 有 的 实体 都 不 存在 该 属性 了 ， 因 此 不 能 立刻 注销 属性 ， 
而 是 要 等 待 其 他 实体 的 消 
例如 ， 某 个 属性 在 网 络 中 有 两 个 源 ， 分 别 在 应 用 实体 A 和 B 上 ， 其 他 应 用 实体 通过 协议 注册 了 该 属性 。 
的 时 候 ， 实 体 A 发 送 Leave 消 息 ， 由 于 实体 B 上 还 存在 该 属性 源 ， 在 接收 到 
其 他 应 用 实体 如 果 收 到 了 应 用 实体 B 发 送 的 Join 消 























Join 定 时 器 值 的 一 半 。 














属性 注销 的 。 每 个 应 用 实体 接收 到 来 自 其 他 的 
时 器 ， 如 果 在 Leave 定 时 器 超时 之 前 没有 接收 到 该 
才 会 被 注销 。 这 是 因为 


























oe 





络 中 如 果 有 一 个 实体 基 






























































Join 消 息 时 ， 才 认为 网 络 中 确实 没有 该 属性 了 。 








每 个 端口 维护 独立 的 Leave 定 时 器 ， 但 要 求 Leave 定 时 器 的 值 大 于 











(4) LeaveAll (全 部 注销 ) 


































































































定时 器 。 每 个 GARP 应 上 








其 他 应 






















































































j 实 体 等 待 两 个 Join 定 时 器 以 上 仍 没 有 收 到 该 属性 的 

















j 实 体 启动 后 

































































中 启动 LeaveAll 定 时 器 ， 开 始 新 的 一 轮 循环 。 
息 的 实体 将 重新 启动 所 有 的 定时 器 ， 包 括 LeaveAll 定 时 器 。 在 自己 的 LeaveAll 定 时 器 
了 次 发 送 LeaveAll 消 息 ， 这 样 就 避免 了 短 时 间 内 发 送 多 个 LeaveAll 消 息 。 
如 果 不 同 设备 的 LeaveAll 定 时 器 同时 超时 ， 就 会 同时 发 送 多 个 LeaveAl 消 息 ， 增 加 不 必要 的 报 文 数量 。 





2 倍 Join 定 时 器 的 值 。 
， 将 同时 启动 LeaveAl 定 时 器 ， 当 该 定 
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值 ， 小 于 1.5 倍 LeaveAll 定 时 器 值 的 一 个 


























随机 值 。 一 次 LeaveAll 事 件 相 当 于 对 全 网 所 有 属性 的 一 次 Leave (注销 )。 由 于 LeaveAll 影 响 范围 很 广 ， 所 












































时 器 超时 后 GARP 应 用 实体 将 对 外 发 送 LeaveAll 消息 ， 随 后 有 
接收 到 LeaveAl 消 ， 
重新 超时 之 后 才 会 有 
为 了 避免 这 种 情况 发 生 ， 实 际 定时 器 运行 的 值 大 于 LeaveAll 定 时 器 的 
以 建议 LeaveAll 定 时 器 的 值 不 能 
每 个 设备 只 在 全 局 维护 一 个 LeaveAl 定时 器 。 
4. 注册 模式 
我 们 可 以 把 手 了 
以 下 3 种 注册 模式 ， 它 们 对 静态 YLAN 和 动态 VYLAN 的 处 到 








小 ， 至 少 应 该 大 于 Leave 定 时 器 的 值 。 





[配置 的 VLAN 称 为 静态 VLAN， 通 过 GVRP 协 议 创 建 的 VLAN 称 为 动态 VLAN。GVRP 有 











E 方 式 各 不 相 








同 。 





(1) Normal 模 式 : 允许 该 端口 动态 注册 、 注 销 VLAN， 传 播 动态 VLAN 和 静态 VLAN 信 息 。 这 是 最 常 
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ET 














创建 的 那 部 分 。 








也 就 是 说 被 配置 为 Forbidden 模 式 的 Trunk 端 口 




















VLAN1。 


,。 也 就 是 说 被 设置 为 Fixed 模 式 的 Trunk 端 





















































的 一 种 动态 注册 模式 ， 也 是 唯一 一 种 真正 具有 动态 注册 VLAN 功 能 
(2) Fixed 模 式 : 禁止 该 端口 动态 注册 、 注 销 VLAN， 








的 模式 。 





只 传播 静态 VLAN 信 息 ， 不 传播 动态 YLAN 信 
































， 即 使 允许 所 有 VLAN 通 过 ， 实 际 通过 的 VLAN 也 只 能 是 手动 


(3) Forbidden 模 式 : 禁止 该 端口 动态 注册 、 注 销 VLAN， 不 传播 除 VLAN1 以 外 的 任何 的 VLAN 信 息 。 














， 即 使 允许 所 有 VLAN 通 过 ， 实 际 通过 的 VLAN 也 只 能 是 























6.8.2 GVRP 工 作 原 理 




















下 面 通过 一 个 简单 的 例 
是 如 何 被 注册 和 注销 的 
1. VLAN 信 息 的 单 向 注册 
GVRP 的 VLAN 尘 














络 ! 
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两 种 消息 ，JoinEmpty 相 当 于 注册 请 求 消息 
通过 JoinEmpty 消息 由 发 送 者 到 达 网 络 中 其 
下 面 以 图 6-13 所 示 的 结构 为 例 介 
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及 二 


VLAN2， 现 要 通过 GVRP 的 VLAN 信 
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此 时 GVRP 的 VLAN 信 息 的 单 向 注册 流 
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SwitchA 


“1 Static vlan 2 


Port 1 We 2 


E 册 是 通过 Join 消 息 来 实 ] 


绍 VLAN 信 |, 
息 单 问 注 
程 如 下 。 


子 来 介绍 一 下 GVRP 的 工作 过 程 。 该 例子 分 4 个 阶段 描述 了 一 个 VLAN 信 息 在 网 





岗 的 ， 一 个 VLAN 信 息 的 成 功 注册 同 时 需要 JoinEmpty 和 JoinIn 这 
， 而 JoinIn 相 当 于 注册 成 功 应 答 消 息 。 这 里 所 说 的 单 向 注册 是 仅 
也 所 有 GARP 应 用 实体 的 传递 过 程 来 完成 的 。 

电 的 单 向 注册 流程 。 假 设 在 SwitchA 上 创建 了 静态 

的 相应 端口 自动 加 入 VLAN2。 


















































FE 册 功能 ， 将 SwitchB 和 SwitchC 和 有 


SwitchC 
Port 4 四 


JoinEmpty 


Port 2 £3 Port 3 


图 








(1) 在 SwitchA 上 创建 静态 VLAN 2 后 ， 








Port1 会 启动 Join 定时 器 和 Hold 定时 器 。 等 待 Hold 定时 器 超时 后 ， 





JoinEmpty 消 息 〈 昌 然 此 时 Portl 已 加 入 VLAN 
注册 的 ， 所 以 仍 以 JoinEmpty 消 ， 
后 ， 向 SwitchB 发 送 





全 后 一 


朱 一 





[wllly 


个 JoinEmpty 消 ， 
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(2) SwitchB 在 收 到 第 一 个 来 自 SwitchA 的 JoinEmpty 消 息 后 创建 动态 VLAN 2， 并 


6-13 VLAN 信 息 


电 发 送 ) 。Join 定 时 器 超时 后 再 


SwitchB 





的 单 向 注册 示例 

















因为 已 发 生 了 VLAN 信 息 变 化 ， 所 以 使 能 了 GVRP 功能 的 
SwitchA 向 SwitchB 发 送 第 一 个 
2 中 ， 但 因为 在 SwitchA 上 VLAN 2 是 静态 创建 的 ， 而 不 是 动态 


次 启动 Hold 定 时 器 ， 再 等 待 Hold 定 时 器 超时 


















































把 接收 到 JoinEmpty 














消息 的 Port2 加 入 动态 YLAN 2 中 。 同 时 告知 
向 SwitchC 发 送 第 一 个 JoinEmpty 消 息 〈 




















为 此 时 


其 Port3 启 动 Join 定 时 器 和 Hold 定 时 器 ， 等 待 Hold 定 时 器 超时 后 
| Port3 也 还 没 加 入 VLAN 2 中 ) 。 同 样 在 Join 定 时 器 超时 后 用 




















上 











次 启动 Hold 定 时 器 ，Hold 定 时 器 超时 之 后 ，| 
SwitchA 的 第 二 











句 SwitchC 发 送 第 二 个 JoinEmpty 消 息 。SwitchB 上 收 到 来 自 











个 JoinEmpty 时 ， 因 为 此 时 Port2 已 经 加 入 动态 YLAN 2， 所 以 不 作 处 理 。 
(3) SwitchC 在 收 到 来 自 SwitchB 的 第 一 





个 JoinEmpty 消 息 后 也 创建 动态 VLAN 2， 并 把 接收 到 


Vr 








JoinEmpty 消 息 的 Port4 加 入 动态 YLAN 2 中 。 同 样 ， 当 SwitchC 收 到 来 自 SwitchB 的 第 二 个 JoinEmpty 后 ， 因 为 




















Port4 已 经 加 入 

此 后 ， 每 当 Leaveall 定时 器 超时 或 收 到 
器 、Hold 定时 器 和 Leave 定时 器 。SwitchA 
等 待 Join 定 时 器 +Hold 定 时 器 之 后 ， 发 送 
也 是 如 此 。 











全 后 一 


守 一 
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动态 VLAN 2， 上 所 以 也 不 作 处 理 
LeaveAll 消息 时 ， 设 备 会 习 


个 JoinEmpty 消 息 


晶 . 


Gs 





新 启动 Leaveall 定时 器 、Join 定 上 
的 Portl 在 Hold 定 时 器 超时 之 后 发 送 第 一 个 JoinEmpty 消 息 ， 
\，SwitchB 向 SwitchC 发 送 JoinEmpty 消 


时 
寺 
息 的 过 程 

































































以 上 就 是 VLAN 信 息 的 单 向 注册 过 笠 








古 





JoinEmpty 消 息 单 向 《注意 消息 发 送 的 方向 ) 传递 的 过 程 ， 























》 
还 








Te 


还 没有 完成 整个 VLAN 2 属性 的 注册 ， 


2. VLAN 信 息 的 双向 注册 





而 


要 进行 下 面 将 要 介绍 的 YLAN 信 息 双 向 注册 过 程 。 

















通过 上 述 VLAN 信 息 的 单 向 注册 过 程 ，Port1、Port2、Port4 已 经 加 入 VLAN2， 但 是 Port3 还 没有 加 
入 VLAN 2 (只 有 收 到 JoinEmpty 消 息 或 JoinIn 消 息 的 端口 才能 加 入 动态 VLAN ， 而 Port3 并 没收 到 这 些 消 
息 ) 。 为 使 VLAN 2 流量 可 以 双向 互通 ， 还 需要 进行 SwitchC 到 SwitchA 方 向 的 VLAN 信 息 的 注册 过 程 。 具 体 
流程 如 下 《〈 见 图 6-14) 。 
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SwitchA SwitchC 


fj Static vlan 2 Static vlan 2 fy 


Port 4 


JoinEmpty 7 
PY Joinln 
Joinjn oy 
~ JoinEmpty 
Joinjn 
g JoinIn 
Port 2 ‘yy Port 3 


SwitchB 







Port 1 














图 6-14 VLAN 信 息 的 双向 注册 














(1) VLAN 信 息 的 单 向 注册 完成 后 ， 在 SwitchC 上 创建 静态 VLAN 2， 此 时 会 将 动态 VLAN 转 换 成 静态 
VLAN。Port4 启 动 Join 定 时 器 和 Hold 定 时 器 ， 等 待 Hold 定时 器 超时 后 ，SwitchC 向 SwitchB 发 送 第 一 个 
JoinIn 消 息 〈《 因 为 Port4 已 经 注册 了 VLAN 2， 所 以 发 送 JoinIn 消 息 ) ， Join 定时 器 超时 后 再 次 启动 Hold 定 
时 器 ，Hold 定时 器 超时 之 后 ， 向 SwitchB 发 送 第 二 个 JoinIn 消 息 。 

(2) SwitchB 在 收 到 来 自 SwitchC 第 一 个 JoinIn 消 息 后 ， 把 接收 到 JoinIn 消 息 的 Port3 加 入 动态 VLAN 2 
中 。 同 时 告知 Port2 启 动 Join 定 时 器 和 Hold 定 时 器 ， 等 待 Hold 定时 器 超时 后 ， 向 SwitchA 发 送 第 一 个 JoinIn 
消息 。Join 定时 器 超时 后 再 次 启动 Hold 定 时 器 ，Hold 定 时 器 超时 之 后 ， 向 SwitchA 发 送 第 二 个 JoinIn 消 息 。 
SwitchB 收 到 来 自 SwitchC 的 第 二 个 JoinIn 消 息 后 ， 因 为 Port3 已 经 加 入 动态 YLAN 2， 所 以 不 作 处 理 

(3) SwitchA 在 收 到 来 自 SwitchB 的 Joinm 消 息 之 后 ， 停 止 向 SwitchB 发 送 JoinEmpty 消 息 。 此 后 ， 当 
Leaveall 定 时 器 超时 或 收 到 LeaveAll 消 息 ， 设 备 重新 启动 Leaveall 定 时 器 、Join 定 时 器 、Hold 定 时 器 和 Leave 定 
时 器 。 

(4) SwitchA 的 Port1 在 Hold 定 时 器 超时 之 后 就 开始 向 SwitchB 发 送 JoinIn 消 息 。SwitchB 的 Port3 也 会 向 
SwitchC 发 送 JoinIn 消 息 。 

(5) SwitchC 在 收 到 来 自 SwitchB 的 JoinIn 消 息 后 ， 由 于 本 身 己 经 创建 了 静态 VLAN2， 所 以 不 会 再 创建 
动态 VLAN2。 

从 以 上 流程 可 以 看 出 ， 双 向 注册 过 程 中 发 送 的 是 JoinIn 消 息 ， 而 且 是 一 个 双向 、 封 闭环 路 过 程 (注意 图 
中 JoinIn 消 息 的 发 送 方 向 )。 

3. VLAN 信 息 的 单 向 注销 

VLAN 信 息 的 消息 过 程 是 使 用 Leave 消 息 或 者 LeaveEmpty 和 LeaveIn 消 息 来 实现 的 。 

同样 以 上 面 的 示例 进行 介绍 ， 当 设备 上 不 再 需要 VLAN2 时 ， 可 以 通过 VLAN 信 息 的 注销 过 程 将 VLAN2 
从 设备 上 删除 。 下 面 以 图 6-15 为 例 介 绍 SwitchA 上 删除 VLAN 2 后 在 其 他 路 由 器 上 的 单 向 注销 过 各 
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SwitchA SwitchC 


Static vlan 2 | 


Port 4 


Port 1 LeaveEmpty 
Leaveln 
Port 2 “3 Port 3 


SwitchB 








图 6-15 VLAN 信 息 的 单 向 注销 

















(1) 在 SwitchA 上 删除 静态 VLAN 2， 因 为 VLAN 信 息 发 生 了 变化 ，Portl 启 动 Hold 定 时 器 ， 等 待 Hold 定 
时 器 超时 后 ，SwitchA 向 SwitchB 发 送 LeaveEmpty 消息 (同样 是 因为 Portl 不 是 动态 加 入 VLAN 2 的 ) 。 
LeaveEmpty 消 息 只 需 发 送 一 次 。 

(2) SwitchB 在 收 到 来 自 SwitchA 的 LeaveEmpty 消息 后 ，Port2 启 动 Leave 定 时 器 ， 等 待 Leave 定 时 器 超 
时 之 后 Port2 注 销 VLAN 2， 将 Port2 从 动态 VLAN2 中 删除 (由 于 此 时 VLAN 2 中 还 存在 Port3， 所 以 不 能 直接 
删除 VLAN 2) 。 同 时 告知 Port3 启动 Hold 定 时 器 和 Leave 定 时 器 ， 等 待 Hold 定 时 器 超时 后 ， 向 SwitchC 发 送 
LeaveIn 消 息 〈 因 为 Port3 是 动态 加 入 VLAN 2 的 ) 。 由 于 SwitchC 的 静态 VLAN 2 还 没有 删除 ，Port3 在 Leave 
定时 器 超时 之 前 仍然 能 够 收 到 Port4 发 送 的 JoinIn 消息 ， 所 以 此 时 SwitchA 和 SwitchB 上 仍然 能 够 学 习 到 动 
态 的 VLAN 2。 

(3) SwitchC 在 收 到 来 自 SwitchB 的 LeaveIn 消 息 后 ， 由 于 SwitchC 上 存在 静态 VLAN 2 (此 时 VLAN 2 已 
转换 成 静态 的 ) ， 所 以 Port4 也 不 会 从 VLAN 2 中 删除 。 




































































































































































































































































通过 以 上 单 向 注销 过 程 可 以 发 现 ， 只 有 Port1、Port2 注 销 了 VLAN 2，Port3 和 Port4 都 还 没有 注销 VLAN 
2。 

4. VLAN 信 息 的 双向 注销 

为 了 彻底 删除 所 有 设备 上 的 VLAN2， 需 要 进行 VYLAN 信 息 的 双向 注销 。 下 面 是 双向 注销 的 流程 ( 见 图 
6-16) 。 


SwitchA SwitchC 


[§] LvaveEmpty Burd By 
Port 1 LeaveEmpty 
Leaveln 
LeaveEmpty 


Port 2 Port 3 


SwitchB 








图 6-16 VLAN 信 息 的 双向 注销 














(1) 在 SwitchC 上 手动 删除 静态 VLAN 2， Port4 启 动 Hold 定 时 器 ， 等 待 Hold 定 时 器 超时 后 ，SwitchC 会 
向 SwitchB 发 送 LeaveEmpty 消 息 。 

(2) SwitchB 在 收 到 来 自 SwitchC 的 LeaveEmpty 消 息 后 ，Port3 启 动 Leave 定 时 器 ， 等 待 Leave 定 时 器 超时 
之 后 Port3 注 销 VLAN 2， 将 Port3 从 动态 VLAN 2 中 删除 并 删除 动态 VLAN 2， 同 时 告知 Port2 启 动 Hold 定 时 
器 ， 等 待 Hold 定 时 器 超时 后 ， 向 SwitchA 发送 LeaveEmpty 消 息 。 

(3) SwitchA 在 收 到 来 自 SwitchB 的 LeaveEmpty 消 息 后 ，Port1 启 动 Leave 定 时 器 ， 等 待 Leave 定 时 器 超时 
之 后 Port1 注 销 后 面 学 习 到 的 动态 VLAN 2， 将 Port1 从 动态 VLAN 2 中 删除 并 删除 动态 VLAN 2。 



















































































通过 以 上 过 程 就 完成 了 整个 VLAN 2 的 注销 过 程 。 


6.8.3 使 能 GVRP 功 能 




















支持 GVRP 的 设备 都 有 如 表 6-8 所 示 的 缺 省 参数 配置 ， 但 可 以 修改 这 些 缺 省 配置 。 








表 6-8 华为 交换 机 的 缺 省 GVRP 参 数 配置 


参数 








缺 省 值 





GVRP 功能 


全 局 和 接口 的 GVRP 功能 都 处 于 关闭 状态 





GVRP 接口 注册 模式 


normal 





LeaveAll 定时 器 


1000 厘 秒 





Hold 定时 器 


10 厚 秒 





Join 定时 器 


20 厘 秒 








Leave 定时 器 60 厘 秒 
本 节 先 介绍 使 能 GVRP 功 能 的 配置 方法 ， 其 他 参数 的 配置 将 在 后 面 小 节 介绍 。 
GVRP 功能 的 使 能 有 两 个 层次 ， 一 个 是 整个 交换 机 全 局 使 能 ， 另 一 个 是 在 具体 的 交换 机 端口 上 使 能 。 
但 在 使 能 端口 的 GVRP 功 能 之 前 ， 必 须 先 全 局 使 能 GVRP 功 能 。 另 外 ， GVRP 功 能 只 能 配置 在 Trunk 类 型 的 
接口 上 ， 并 且 需 要 保证 所 有 需要 动态 注册 的 VLAN 都 能 够 从 该 端口 通过 。 具 体 配置 方法 如 表 6-9 所 示 。 





























































































































步骤 命令 说 明 
System-view 小 入 系 综 视图 
例如 : <HUAWEI> system-view 进入 系统 视图 
gvrp 全 局 使 能 GVRP 功能 。 缺 省 情况 下 ， 全 局 和 接口 的 
2 GVRP 功能 都 处 于 关闭 状态 ， 可 用 undo gvrp 命令 全 
例如 : [HUAWEI] gvr 证 人 
[ lgvrp 局 关闭 GVRP 功能 
interface interface-type 
interface-number 和 省 名 b 
3 例如 ; [HUAWEI] interface 键入 要 启用 GVRP 功能 的 交换 机 端口 
ethernet 0/0/1 
port link-type trunk 
4 例如 : [HUAWEI-Ethernet0/0/1] 设置 以 上 交换 机 端口 为 Trunk 类 型 











port link-type trunk 

port trunk allow-pass vlan 

{ { vlan-idl [to vian-id2 ] } 

5 &<1-10> | all } 

例如 : [HUAWEI-Ethernet0/0/1] 
port trunk allow-pass vlan 2 to 10 





配置 允许 在 其 他 交换 机 上 动态 注册 的 VLAN 通过 。 
其 他 说 明 参 见 表 6-3 第 7 步 

当 设 备 GARP 定 时 器 使 用 缺 省 值 时 最 多 支持 256 个 动态 
VLAN， 使 用 推荐 值 时 最 多 支持 4 094 个 动态 VLAN 
在 以 上 交换 机 端口 上 使 能 GVRP 功能 。 缺 省 情况 下 ， 
全 局 和 接口 的 GVRP 功能 都 处 于 关闭 状态 ， 可 使 用 
undo gvrp 命令 关闭 接口 上 的 GVRP 功能 








例如 : [HUAWEI-Ethernet0/0/1]gvrp 














6.8.4 配置 GVRP 端 口 注 册 模 式 








在 启用 了 GVRP 功 能 的 交换 机 端口 上 ， 可 以 配置 normal、fixed 和 forbidden 3 种 通过 GVRP 在 其 他 交换 机 
上 动态 注册 VLAN 的 注册 模式 (参见 6.8.1 节 ， 但 这 是 可 选 配 置 任务 ) : 
在 启用 了 GVRP 功 能 的 Trunk 端 口上 配置 注册 模式 的 方法 很 简单 ， 只 需要 在 对 应 的 接口 视图 下 通过 gvrp 
registration { fixed | forbidden Inormal } 命 令 配置 即 可 。 命 令 中 的 3 个 多 选 一 选项 分 别 对 应 以 上 3 种 端口 注册 
模式 。 缺 省 情况 下 ，GVRP 接 口 注册 模式 为 normal 模式 ， 可 用 undo gvrp registration 命令 恢复 GVRP 接 口 注 
册 模 式 为 缺 省 的 normal 模式 。 

配置 端口 注册 模式 前 需要 全 局 和 端口 均 使 能 GVRP 功 能 ， 且 配置 端口 类 型 为 Trunk 类 型 。 

【示例 】 设 置 Gigabitethernet 0/0/1 GVRP 端 口 注 册 模 式 为 Fixed 模 式 。 









































































































































<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk 
[HUAWEI-GigabitEthernet0/0/1] gvrp 
[HUAWEI-GigabitEthernet0/0/1] gvrp registration fixed 





6.8.5 





配置 GARP 定 时 器 参数 值 




















后 再 














在 一 台 交 换 机 设备 使 能 了 GARP 注 册 功 能 
机 将 对 外 发 送 LeaveAll 消 息 ， 以 使 其 他 使 能 了 GARP 功 能 的 交换 机 重 
启动 LeaveAll 定 时 器 ， 
【经 验 之 谈 】 在 网 络 
时 每 台 交 换 机 都 将 以 整个 网 络 
器 超时 后 都 会 发 送 LeaveAl 消息 ， 

















开始 新 的 一 轮 循环 。 
有 


台 交 换 机 的 情 






































新 注 





况 下 ， 各 个 交换 机 的 LeaveAll 定时 器 的 取 值 
配置 的 最 小 LeaveAl 定 时 器 值 





来 发 送 LeaveAll 消 
































以 即使 整个 网 络 中 存在 很 多 不 同 的 LeaveAl 定 时 器 ， 实 际 上 也 上 
除了 可 以 配置 LeaveAl 定时 
Hold 定 时 器 和 Leave 定 时 器 。 





如 果 用 户 想 要 


值 。 





在 实际 组 网 中 ， 





设置 的 定时 器 的 值 
如 果 用 户 想 恢 复 各 定时 器 的 
Leave、LeaveAl 定时 器 的 值 为 缺 省 值 。 





器 参数 外 ， 




















不 在 当前 可 
值 为 缺 省 值 ， 
































忆 






































建议 用 户 将 GVRP 定 时 器 配置 为 以 下 的 推荐 值 。 
《1) Hold 定 时 器 : 100 厘 秒 


(1 秒 钟 ) 。 





(2) Join 定 时 器 : 600 厘 秒 〈6 秒 钟 ) 。 


(3) Leave 定 时 


器 : 3000 厘 秒 





(4) LeaveAl 定 时 器 ; 
当 动 态 VLAN 超 过 100 个 或 运行 GVRP 的 网 络 超过 3 台 


(30 秒 钟 〉。 











其 他 的 交换 机 如 





FE 接收 到 这 个 LeaveAl 消 息 后 都 





还 可 以 配置 在 6.8.1 节 
但 要 注意 的 是 ， 各 个 定 
以 设置 的 取 值 范围 内 ， 
可 以 先 恢复 Hold 定时 器 的 值 为 缺 省 值 ， 然 后 
当然 这 也 是 可 选 配 置 






























































时 器 的 取 值 





范围 会 



















































































12000 厘 秒 (2 分 钟 )。 








数 或 设备 数 增加 时 ， 定 时 器 的 时 间 也 需要 相应 地 增加 。 
以 上 各 GARP 定 时 器 参数 的 配置 步 又 如 表 6-10 所 示 。 








表 6-10 GARP 定 时 器 参数 的 配置 步 又 





设备 时 ， 需 将 定时 器 配置 为 推荐 值 。 






























































说 明 





System-view 
例如 : <HUAWEI> system-view 


入 系统 视图 





[Be 





garp timer leaveall timer-value 
例如 : [HUAWEI] garp timer 
leaveall 2000 





全 局 配置 GARP 的 LeaveAll 定时 器 的 值 。 参 数 前 
32 765 的 整数 ， 单 位 为 厘 秒 ， 
取 值 必须 是 5 厘 秒 的 倍数 ， 且 LeaveAll 定时 器 的 值 应 大 


timer-value 取 值 范围 为 65 一 


于 所 有 端口 Leave 定时 器 的 值 
缺 省 情况 下 ，LeaveAll 定时 器 的 值 为 1000 局 


秒 。 可 用 undo garp timer leaveall 命令 恢复 GARP 的 


LeaveAll 定时 器 为 缺 省 值 





EE 秒 ， 即 10 





由 于 各 交换 机 端口 Leave 定时 器 的 值 受 全 局 LeaveAll 》 


时 器 的 值 限制 ， 所 以 在 配置 LeaveAll 定时 器 


要 保证 设备 上 所 有 配置 GARP 定时 器 的 端口 都 处 于 和 


工作 状态 


的 值 时 ， 




















再 依次 恢复 Join、 
E 务 ， 因 为 这 些 定时 器 参数 都 有 它们 的 缺 省 


> 





后 ， 将 同时 启动 LeaveAl 定 时 器 ， 当 该 定时 器 超时 后 ， 该 交换 
册 本 交换 机 上 所 有 的 属性 信息 。 随 





可 能 不 相同 ， 此 
息 。 因 为 每 次 LeaveAll 定 时 

会 清 零 LeaveAll 定 时 器 。 所 

只 有 最 小 的 那个 LeaveAll 定 时 器 起 作用 。 
六 介绍 的 其 他 定时 器 参数 ， 如 Join 定 时 器 、 
由 于 其 他 定时 器 取 值 
可 以 通过 改变 相关 定时 器 的 取 值 实现 。 














的 改变 而 改变 。 





动态 VLAN 


( 续 表 ) 


interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
ethernet 0/0/1 


键入 要 启用 GVRP 功能 的 交换 机 端口 





配置 交换 机 端口 的 Hold 定时 器 、Join 定时 器 、Leave 定 
时 器 值 

(1) 当 配置 Hold 定时 器 值 时 ， 参 数 timer-value 的 取 值 下 
限 为 10 厘 秒 ， 取 值 上 限 小 于 等 于 1/2 Join 定时 器 的 值 ， 
可 以 通过 改变 Join 定时 器 的 取 值 改变 ， 取 值 必须 是 5 厘 
秒 的 倍数 
(2) 当 配 置 Join 定时 器 值 时 ， 参 数 timer-value 的 取 值 下 
限 为 大 于 等 于 2 倍 Hold 定时 器 的 值 , 可 以 通过 改变 Hold 


garp timer {hold |join|leave } | 定时 器 的 取 值 实现 ， 取 值 上 限 为 小 于 1/2 Leave 定时 器 的 


timer-value 


例如 : [HUAWEI-Ethernet0/0/1] | 必须 是 5 厘 秒 的 倍数 


garp timer hold 200 


6.8.6 GVRP 配 置 管理 

















取 值 , 可 以 通过 改变 Leave 定时 器 的 取 值 改变 ; 但 取 值 也 





(3) 当 配置 Leave 定时 器 值 时 ， 参 数 timer-value 的 取 值 
` 限 为 大 于 2 倍 Join 定时 器 的 值 ， 可 以 通过 改变 Join 定 
时 器 的 取 值 改变 ; 取 值 上 限 为 小 于 LeaveAll 定时 器 的 值 ， 
可 以 通过 改变 LeaveAll 定时 器 的 取 值 改变 ， 取 值 也 必须 
是 5 厘 秒 的 倍数 

缺 省 情况 下 ,Hold 定时 器 的 值 为 10 厘 秒 , Join 定时 器 的 
值 为 20 厘 秒 ，Leave 定时 器 的 值 为 60 厘 秒 ， 可 用 undo 
garp timer { hold | join | leave } [ timer-value ] 命 令 恢复 对 
应 交换 机 端口 的 对 应 GARP 定时 器 的 值 为 缺 省 值 























配置 好 GVRP 功 能 后 ， 可 在 任意 视图 下 使 用 以 下 相关 display 命 令 进 行 配置 管理 或 相关 信息 碍 看 ， 在 用户 
视图 下 使 用 以 下 reset 命 令 清 除 GVRP 相 关 统 计 信息 。 








(1) 使 用 


jdisplay gvrp status 命令 查看 全 











(2) 使 用 
number ] }&<1-10> ] 命令 查看 特定 交换 机 端口 





(3) 使 用 





number ] }&<1-10> ] 命令 查看 特定 交换 机 端口 





jdisplay garp timer [ interface { 











局 GVRP 功 能 的 使 能 或 去 使 能 状态 信息 。 


jdisplay gvrp statistics [ interface { interface-type interface-number [ to interface- type interface- 


上 的 GVRP 统 计 信 息 。 
interface-type interface-number [ to interface- type interface- 


上 配置 的 GARP 定 时 器 值 。 














(4) 使 用 





number ] }&<1-10> ] 命令 清除 特定 交换 机 端口 


] reset garp statistics [ interface 








6.8.7 GVRP 配 置 示例 











{ interface-type interface-number [ to interface- type interface- 
上 的 GARP 统 计 信息 。 


本 示例 拓扑 结构 如 图 6-17 所 示 ， 公 司 A (Company A) 、 公 司 A 的 分 公司 (Branch of Company A) 以 及 


|| 





六 六 
区 





GE1/0/1 
SwitchA 、 


GE1/0/2 






]B (Company B) 之 间 有 较 多 的 交换 设备 相连 ， 需 要 通过 GVRP 功 能 实现 VLAN 的 动态 注册 。 公 司 A 的 分 
通过 SwitchA 和 SwitchB 与 公司 A 互 通 ; 公司 B 通 过 SwitchB 和 SwitchC 与 公司 A 互 通 ， 但 只 允许 公司 B 配 置 
的 VLAN 通 过 。 





SwitchB 





GE1/0/1 SwitchC 


GE1/0/2 




















图 6-17 GVRP 配 置 示例 拓扑 结构 





























1. 配置 思路 分 析 
本 示例 中 有 两 个 明确 的 要 求 ， 那 就 是 公司 A 的 分 公司 与 公司 A 之 间 要 求 互 联 互通 ， 所 以 在 VLAN 动 态 注 
册 上 没有 限制 ， 而 公司 B 与 公司 A 之 间 的 连接 仅 人 允许 公司 B 上 静态 配置 的 VLAN 通 过 。 人 针对 以 上 两 方面 的 要 
求 ， 可 以 采用 如 下 的 思路 来 配置 各 交换 机 上 的 GVRP 功 能 。 
(1) 在 公司 A、 公 司 A 的 分 公司 和 公司 BB 网 络 中 的 各 交换 机 Trunk 端 口上 使 能 GVRP 功 能 ， 并 配置 这 些 端 
的 注册 模式 为 Normal， 实 现 VLAN 的 动态 注册 。 
(2) 在 SwitchC 上 手动 创建 整个 网 络 中 所 需 的 静态 VLAN (假设 为 VLAN 101 一 200) 。 
(3) 在 SwitchA 与 公司 A 的 分 公司 、SwitchB 连 接 的 Trunk 端 口 ， 以 及 SwitchC 与 公司 B 连 接 的 Trunk 端 口 
上 配置 GVRP 功 能 ， 并 配置 这 些 端口 的 注册 模式 为 Normal。 
说 明 
通过 以 上 三 项 配置 任务 就 可 以 使 得 公司 A、 公 司 A 的 分 公司 和 公司 B， 以 及 SwitchA 和 SwitchB 能 动态 
注册 来 自 SwitchC 上 配置 的 静态 VLAN。 

(4) 在 SwitchC 与 SwitchB 连 接 的 Trunk 端 口上 配置 GVRP 功 能 ， 并 配置 注册 模式 为 Fixed， 其 目的 就 是 要 
禁止 在 该 端口 上 动态 注册 来 自 公司 A 网 络 、 公 司 A 的 分 公司 网 络 ， 以 及 SwitchA 和 SwitchB 上 创建 的 VLAN， 
但 仍 允 许 通过 该 端口 向 外 传播 GVRP 注 册 消 息 ， 以 使 公司 A 网 络 、 公 司 A 的 分 公司 网 络 ， 以 及 SwitchA 和 
SwitchB 能 动态 注册 来 自 SwitchC 上 配置 的 静态 VLAN， 最 终 实 现 示 例 中 要 求 的 仅 允许 公司 B 配置 的 静态 
VLAN (其 实 是 在 SwitchC 上 静态 创建 的 ) 与 公司 A 互 访 的 要 求 。 

2. 配置 步骤 
下 面 是 各 交换 机 的 具体 配置 步骤 。 
SwitchA 交 换 机 的 配置 : 

(1) 全 局 使 能 GVRP 功 能 。 

<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] gvrp 

(2) 配置 与 公司 A 的 分 公司 和 SwitchB 相连 的 端口 均 为 Trunk 类 型 ， 并 允许 所 有 VLAN 通 过 。 同 时 使 
能 GVRP 功 能 ， 并 配置 GVRP 注 册 模 式 为 Normal。 

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port link-type trunk 
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan all 

[SwitchA-GigabitEthernet1/0/1] gvrp 

[SwitchA-GigabitEthernet1/0/1] gvrp registration normal 

[SwitchA-GigabitEthernet1/0/1] quit 

[SwitchA] interfacegigabitethernet 1/0/2 

[SwitchA-GigabitEthernet1/0/2] port link-type trunk 

[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan all 

[SwitchA-GigabitEthernet1/0/2] gvrp 

[SwitchA-GigabitEthernet1/0/2] gvrp registration normal 

[SwitchA-GigabitEthernet1/0/2] quit 
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到 



























































































































































































































































































































































SwitchB 交 换 机 上 的 配置 : 
(1) 全 局 使 能 GVRP 功 能 。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] gvrp 
(2) 配置 与 SwitchA 和 SwitchC 相 连 的 端口 均 为 Trunk 类 型 ， 并 允许 所 有 VLAN 通 过 。 同 时 使 能 GVRP 功 
并 配置 GVRP 注 册 模式 为 Normal。 
[SwitchB] interface gigabitethernet 1/0/1 







































































bai 
CC 


[SwitchB-GigabitEthernet1/0/1] port link-type trunk 
[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan all 
[SwitchB-GigabitEthernet1/0/1] gvrp 
[SwitchB-GigabitEthernet1/0/1] gvrp registration normal 
[SwitchB-GigabitEthernet1/0/1] quit 
[SwitchB] interfacegigabitethernet 1/0/2 
[SwitchB-GigabitEthernet1/0/2] port link-type trunk 
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan all 
[SwitchB-GigabitEthernet1/0/2] gvrp 
[SwitchB-GigabitEthernet1/0/2] gvrp registration normal 
[SwitchB-GigabitEthernet1/0/2] quit 
SwitchC 交 换 机 上 的 配置 : 
(1) 全 局 使 能 GVRP 功能， 根据 需要 手动 创建 所 需 的 VLAN， 如 VLAN101~~VLAN200。 最 终 通 过 
GVRP 的 VLAN 注 册 功 能 可 使 公司 A、 公 司 A 的 分 公司 和 公司 B 的 网 络 中 都 有 这 100 个 VLAN。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchC 
[SwitchC] vlan batch 101 to 200 
[SwitchC] gvrp 
(2) 配置 与 SwitchC 和 公司 B 连 接 的 端口 均 为 Trunk 类 型 ， 并 允许 所 有 VLAN 通 过 。 
[SwitchC] interface gigabitethernet 1/0/1 





































































































[SwitchC-GigabitEthernet1/0/1] port link-type trunk 

[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan all 

[SwitchC-GigabitEthernet1/0/1] quit 

[SwitchC] interface gigabitethernet 1/0/2 

[SwitchC-GigabitEthernet1/0/2] port link-type trunk 

[SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan all 

[SwitchC-GigabitEthernet1/0/2] quit 

(3) 使 能 与 SwitchC 和 公司 B 连 接 端口 的 GVRP 功 能 ， 并 配置 与 SwitchB 相 连 端 口 的 注册 模式 为 Fixed 模 

式 ， 以 便 在 与 公司 A 的 通信 仅 允 许 在 SwitchC 上 静态 创建 的 YLAN 101 一 200 这 100 个 VLAN 的 帧 通过 ;配置 与 
公司 B 连 接 的 端口 的 注册 模式 为 Normal， 以 便 公司 B 网 络 也 能 动态 注册 在 SwitchC 上 静态 创建 的 VLAN 101 一 
200 这 100 个 VLAN。 

[SwitchC] interface gigabitethernet 1/0/1 














































































































[SwitchC-GigabitEthernet1/0/1] gvrp 

[SwitchC-GigabitEthernet1/0/1] gvrp registration fixed 

[SwitchC-GigabitEthernet1/0/1] guit 

[SwitchC] interface gigabitethernet 1/0/2 

[SwitchC-GigabitEthernet1/0/2] gvrp 

[SwitchC-GigabitEthernet1/0/2] gvrp registration normal 

[SwitchC-GigabitEthernet1/0/2] guit 

3， 验证 配置 结果 

配置 完成 后 ， 公 司 A 的 分 公司 、 公 司 A 和 公司 B 中 的 VLAN 101~200 中 同一 VLAN 内 的 用 户 间 都 可 以 直 
接 互 访 。 在 SwitchA 上 使 用 display gvrp statistics 命 令 可 查看 各 Trunk 端 口上 的 GVRP 统 计 信息 ， 其 中 包括 
GVRP 状 态 、GVRP 注 册 失 败 次 数 、 上 一 个 GVRP 数 据 单元 源 MAC 地 址 和 接口 GVRP 注 册 类 型 ， 结 果 如 下 ， 
结果 显示 与 上 面 的 配置 是 一 致 的 ， 证 明 配置 成 功 。 

<SwitchA>display gvrp statistics 

GVRP statistics on port GigabitEthernet1/0/1 

GVRP status : Enabled 

GVRP registrations failed :0 

GVRP last PDU origin :0000-0000-0000 

GVRP registration type : Normal 

GVRP statistics on port GigabitEthernet1/0/2 

GVRP status : Enabled 

GVRP registrations failed :0 

GVRP last PDU origin :0000-0000-0000 

GVRP registration type : Normal 

SwitchB 和 SwitchC 的 查看 方法 与 SwitchA 类 似 ， 不 再 袭 述 。 













































































































































































1 出 


6.9VLAN 间 通信 配置 与 管理 


























我 们 知道 ， 划 分 VLAN 的 目的 是 为 了 隔离 同一 网 段 中 各 主机 间 的 直接 二 层 通信 ， 以 缩小 广播 域 ， 减 小 广 
播 风 暴 产生 的 可 能 性 和 影响 。 但 是 在 大 多 数 情 况 下 ， 不 同 VLAN 中 的 主机 又 需要 相互 通信 。 为 了 达到 既 二 层 
隔离 ， 又 能 相互 通信 ， 华 为 交换 机 产品 中 提供 了 3 种 解决 方案 ， 那 就 是 通过 配置 三 层 VLANIF 接 口 、 三 层 以 
太 网 子 接口 、VLAN Switch 实现 VLAN 间 的 通信 。 本 节 要 对 VLAN 间 通信 方式 、 三 种 VLAN 间 通信 方案 及 配 
置 方法 进行 全 面 介绍 。 


























































































































6.9.1 两 种 VLAN 间 通信 方式 

















VLAN 间 的 三 层 通信 存在 两 种 不 同 的 情形 : 0 的 不 同 VLAN 同 处 于 一 个 交换 机 上 ， 二 是 相互 
en 下 面 分 别 介绍 这 两 种 YLAN 间 通信 方式 。 

1， 同 一 台 交 换 机 上 的 VLAN 间 通信 
| 情形 的 示意 图 如 图 6-18 所 示 。 示 例 中 的 VLAN 2、VLAN 3 和 VLAN 4 在 同一 个 三 层 交 换 机 (也 可 以 
是 路 由 器 ) 上 。 此 时 要 实现 这 3 个 VLAN 间 的 三 层 通信 只 需 在 该 三 层 交 换 机 为 这 3 个 VLAN 各 自 配 置 VLANIF 
接口 卫 地 址 《要 求 在 不 同 卫 子 网 中 ) 即 可 ， 因 为 在 华为 交换 机 中 IP 路 由 功能 是 一 直 启 用 的 ， 加 上 这 些 VLAN 






























































































































































是 直接 连接 在 同一 台 三 层 交 换 机 上 ， 相 当 于 直 连 路 由 ， 所 以 无 需 其 他 额外 配置 就 可 以 实现 同一 台 交 换 机 上 
不 同 VLAN 间 的 三 层 互 通 。 

2. 不 同 交换 机 上 的 VLAN 间 通信 

这 种 情形 的 示意 图 如 图 6-19 所 示 。 示 例 中 的 VLAN 2、VLAN 3 和 VLAN 4 不 仅 在 同一 台 三 层 交 换 机 (也 
可 以 是 路 由 器 ) 上 有 ， 而 且 在 不 同 的 三 层 交 换 机 上 也 有 ， 这 就 涉及 跨 三 层 设备 的 VLAN 间 通信 问题 了 。 如 果 
相互 通信 的 不 同 VLAN 位 于 不 同 的 三 层 交换 机 上 ， 不 仅 要 为 各 VLAN 配 置 VLANIF 接 口 了 地 址 〈 不 同 交 换 机 
中 的 相同 VLAN 各 自 可 以 配置 一 个 同 网 段 的 VLANIE 接 口 了 地址 ) ， 还 要 在 三 层 设 备 上 配置 到 达 各 个 
VLANIF 接口 所 在 网 段 的 可 达 路 由 《可 以 是 静态 路 由 ， 也 可 以 是 各 种 动态 路 由 ) 。 
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图 6-18 同一 三 层 交 换 机 上 的 VLAN 间 通信 示例 





Switol A Trunk Link ; Switch B 
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入 多 的 四 四 办 
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图 6-19 跨 三 层 交 换 机 的 VLAN 间 通信 示例 














6.9.2 VLAN 间 通信 方案 及 实现 原理 
































在 划分 VLAN 后 ， 不 同 VLAN 之 间 不 能 直接 进行 二 层 通 信 。 如 果 要 实现 VLAN 间 通信 ， 可 以 采取 以 下 3 
种 方案 之 一 。 

1. 三 层 VLANIF 接 口 方 案 

这 是 一 种 通过 计算 机 网 络 体系 结构 中 第 三 层 〈 网 络 层 ) 来 实现 VLAN 间 通信 的 解决 方案 。 每 个 VLAN 
都 可 以 配置 一 个 三 层 VLANIF 逻 辑 接口 ， 而 这 些 VLANIEF 接 口 就 作为 对 应 VLAN 内 部 用 户主 机 的 缺 省 网 关 ， 
通过 三 层 交 换 机 内 部 的 IP 路 由 功能 可 以 实现 同一 交换 机 上 不 同 VLAN 的 三 层 互通 ， 不 同 交换 机 上 不 同 VLAN 

间 的 三 层 互 通 需 要 配置 各 VLANIF 接 口 所 在 网 段 间 的 路 由 。 

该 方案 除 S1700 系 列 外 ， 其 他 所 有 华为 $ 系 列 交换 机 均 支 持 。 
在 图 6-20 所 示 的 网 络 中 ，Device 交 换 机 上 划分 了 两 个 VLAN: VLAN2 和 VLAN3。 可 通过 如 下 配置 实现 
VLAN 间 互通 










































































Device 





VLANIF 








: Host A Host B : : Host C HostD | 


ds 


图 6-20 通过 VLANIF 接 口 实 现 VLAN 间 通信 的 示 侈 





























(1) 在 Device 上 创建 两 个 VLANIF 接 口 并 配置 VLANIF 接 口 的 PP 地 址 ， 但 这 两 个 VLANIF 接 口 对 应 的 IP 
地 址 不 能 在 同一 网 段 。 

(2) 将 各 VLAN 中 的 用 户 设 备 缺 省 网 关 设 置 为 所 属 VLAN 对 应 VLANIF 接 口 的 IP 地 址 。 
现在 仅 以 位 于 VLAN 2 中 的 主机 A 向 位 于 VLAN 3 中 的 主机 C 发 起 通信 为 例 ， 介 绍 通 过 VLANIF 接 口 进行 
VLAN 间 三 层 互 通 的 基本 原理 。 有 具体 通信 流程 如 下 。 

(1) 在 主机 A 向 主机 C 发 送 的 数据 包 到 了 网 络 层 后 ， 主 机 A 先 将 包 中 的 目的 下 地 址 一 一 主机 C 的 卫 地 址 
和 自己 所 在 网 段 进行 比较 。 
(2) 发 现 主 机 C 和 自己 不 在 同一 个 子 网 ， 于 是 主机 A 以 广播 方式 在 本 子 网 内 发 送 一 个 ARP 请 求 帧 ， 其 
的 是 查寻 自己 的 网 关 一 一 VLANIF2 接 口 的 MAC 地 址 。 
(3) VLANIF2 接口 经 过 与 ARP 请 求 帧 中 的 目的 卫 地 址 进行 比较 ， 发 现 自己 的 IP 地 址 与 其 一 致 ， 接 
收 该 ARP 请 求 帧 ， 然 后 以 单 播 方式 向 主机 A 返 回 一 个 ARP 应 答 帧 ， 帧 中 的 源 MAC 地 址 即 为 YLANIF2 的 MAC 
地 址 。 
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(4) 在 主机 A 接收 由 VLANIF2 接 口 返回 的 ARP 应 答 帧 后 从 中 学 习 到 了 VLANIF2 接 口 的 MAC 地 址 。 

(5) 主机 A 利用 所 获得 的 网 关 VLANIF2 接 口 的 MAC 地 址 ， 重 新 进行 数据 帧 封装 ， 把 帧 中 的 目的 MAC 
改 为 VYLANIF2 接 口 MAC 地 址 ， 目 的 IP 仍 为 主机 C 的 IP 地 址 ， 然 后 发 送 给 网 关 一 一 VLANIF2 接 口 。 

(6) Device 交 换 机 在 收 到 该 数据 帧 后 进行 三 层 转发 ， 发 现 帧 中 的 目的 也 地 址 一 一 主机 C 的 IP 地 址 为 直 连 
路 由 ， 数 据 帧 直接 通过 该 主机 的 网 关 一 一 VLANIF3 接 口 进行 转发 。 

(7) VLANIF3 接 口 作 为 VLAN 3 内 主机 的 网 关 ， 在 收 到 数据 帧 后 如 果 已 有 主机 C 的 JP 地 址 与 MAC 地 址 
映射 表 ， 则 直接 发 送 给 主机 C， 否 则 VLANIF3 接 口 先 在 VLAN 3 内 以 广播 方式 发 送 一 个 ARP 请 求 帧 ， 查 寻 主 
机 C 的 MAC 地 址 。 

(8) 主机 C 在 收 到 ARP 广 播 帧 后 向 VLANIF3 接 口 返 回 一 个 ARP 应 答 帧 。 

(9) VLANIF3 接 口 在 收 到 主机 C 发 来 的 ARP 应 答 帧 后 再 次 进行 数据 帧 封装 ， 把 帧 中 的 目的 MAC 地 址 改 
为 主机 C 的 真实 MAC 地 址 (其 他 不 变 ) ， 然 后 把 主机 A 发 来 的 数据 帧 发 送 给 主机 C。 这 样 主机 A 之 后 要 发 
给 C 的 数据 帧 都 先 发 送 给 网 关 ， 由 网 关 一 一 VLANIF3 接 口 做 三 层 转 发 。 
主机 C 与 主机 A 之 间 的 通信 原理 一 样 ， 最 终 实现 VLAN 间 的 三 层 互 通 。 

2. 三 层 以 太 网 子 接口 方案 
三 层 以 太 网 子 接口 是 一 种 同时 具备 三 层 以 太 网 物理 接口 和 二 层 以 太 网 物理 接口 双重 特性 的 逻辑 接口 。 
即 它 具 有 三 层 以 太 网 物理 接口 的 三 层 路 由 功能 ， 同 时 又 具有 二 层 以 太 网 物理 接口 封装 VLAN 标签 的 特性 。 
通过 三 层 以 太 网 子 接口 就 可 以 实现 不 同 VLAN 间 的 三 层 互通 ， 也 就 是 我 们 通常 所 说 的 “ 单 臂 路 由 ”， 在 三 层 交 






























































































































































































































































































































































































































































换 机 和 路 由 器 中 均 可 实现 。 

该 方案 仅 5700HI 和 5710EI 子 系列 、S7700、S9300 和 S9700 系 列 华为 交换 机 支持 。 

如 图 6-21 所 示 ，DeviceA 为 支持 配置 子 接口 的 三 层 设备 ，DeviceB 为 二 层 交 换 设备 。 LAN 通过 DeviceB 
的 二 层 以 太 网 接口 与 DeviceA 的 三 层 以 太 网 接口 相连 。 连 接 在 DeviceB 上 的 用 户主 机 被 划分 到 两 个 VLAN: 
VLAN2 和 VLAN3。 这 时 可 通过 如 下 配置 实现 VLAN 间 互通 。 





































































































DeviceA 
Portl.1 ,i Portl 2 


2 
上 VLAN Trunk 


DeviceB 






Access port 


: Host A HostB : : HostC HostD | 














图 6-21 通过 子 接口 实现 VLAN 间 通信 的 示例 














(1) 在 DeviceA 与 DeviceB 相 连 的 三 层 以 太 网 接口 上 创建 两 个 子 接 口 Port1.1 和 Port1.2， 并 配置 802.1Q 
封装 与 VLAN2 和 VLAN3 分 别 对 应 。 
(2) 为 以 上 这 两 个 子 接口 配置 与 各 自 所 属 VLAN 对 应 网 段 的 IP 地 址 。 
(3) 将 DeviceB 与 DeviceA 相连 的 二 层 以 太 网 接口 类 型 配置 为 Trunk 或 Hybrid 类 型 ， 并 同时 允许 
VLAN2 和 VLAN3 的 帧 通过 。 
(4) 将 VLAN 2 和 VLAN 3 中 的 用 户 设 备 的 缺 省 网 关 设置 为 所 属 VLAN 对 应 三 层 以 太 网 子 接口 的 IP 地 























































































































址 






























































现在 同样 以 主机 A 向 主机 C 发 起 通信 为 例 介 绍 三 层 以 太 网 子 接口 的 VLAN 间 通信 方案 的 基本 原理 (其 实 
基本 过 程 与 前 面 介绍 的 VLANIF 接 口 VLAN 间 通信 方案 是 一 样 的 ， 只 不 过 这 里 的 网 关 是 各 VLAN 所 对 应 的 子 
接口 ) 。 有 具体 流程 如 下 。 

(1) 在 主机 A 向 主机 C 发 送 的 数据 包 到 了 网 络 层 后 ， 主 机 A 先 将 包 中 的 目的 下 地 址 一 一 主机 C 的 卫 地 址 
和 自己 所 在 网 段 进 行 比较 。 
(2) 发 现 主机 C 和 自己 不 在 同一 个 子 网 ， 于 是 主机 A 以 广播 方式 在 本 子 网 内 发 送 一 个 ARP 请 求 帧 ， 
其 目的 是 查寻 自己 的 网 关 VLAN 2 对 应 的 Port1.1 子 接口 的 MAC 地 址 。 
(3) Port1.1 子 接口 经 过 与 ARP 请 求 帧 中 的 目的 IP 地 址 进行 比较 ， 发 现 自己 的 IP 地 址 与 其 一 致 ， 接 收 该 
ARP 请 求 帧 ， 然 后 以 单 播 方式 向 主机 A 返 回 一 个 ARP 应 答 帧 ， 帧 中 的 源 MAC 地 址 即 为 Port1.1 子 接口 的 MAC 
地 址 。 

































































































































































































































































(4) 主机 A 接收 由 Port1.1 子 接口 返回 的 ARP 应 答 帧 后 从 中 学 习 到 该 子 接口 的 MAC 地 址 。 
(5) 主机 A 利用 所 获得 的 网 关 Port1.1 子 接口 的 MAC 地 址 ， 重 新 封装 数据 帧 ， 把 目的 MAC 地 址 改 为 
Port1.1 子 接口 MAC， 目 的 了 P 仍 为 主机 C 的 人 P 地 址 ， 然 后 发 送 给 网 关 Port1.1 子 接口 。 
(6) DeviceA 交 换 机 在 收 到 该 数据 帧 后 进行 三 层 转发 ， 发 现 其 目的 IP 地 址 一 一 主机 C 的 JP 地址 为 直 连 路 
， 数 据 帧 直接 通过 该 主机 的 网 关 一 一 VLAN 3 对 应 Port1.2 子 接口 进行 转发 。 
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(7) Port1.2 子 接口 作为 VLAN 3 内 主机 的 网 关 ， 在 收 到 数据 帧 后 如 果 已 有 主机 C 的 耳 地 址 与 MAC 地 址 映 


射 表 ， 则 直接 发 送 给 主机 C， 和 否则 Port1.2 子 接 





的 MAC 地 址 


(8) 主机 C 在 收 到 ARP 广 播 帧 后 向 Port1.2 子 接 
(9) Port1.2 子 接口 在 收 到 主机 C 的 ARP 应 答 帧 后 ， 再 次 进行 数 扩 
其 他 不 变 ) ， 然 后 就 把 主机 A 发 来 的 数据 帧 发 送 给 主机 C。 这 样 主机 A 之 后 要 发 
Port1.2 子 接口 做 三 层 转发 。 




















主机 C 的 真实 MAC 地 址 〈3 





















































给 C 的 数据 帧 都 先 发 送 给 网 关 ， 由 网 关 

















主机 C 与 主机 A 之 间 的 通信 原理 
3. VLAN Switch 方案 
通过 VLAN Switch C(VLAN 交 ] 





了 转发 效率 及 安 












































返回 一 个 ARP 应 答 帧 。 
居 帧 封装 ， 把 帧 中 的 目 











样 ， 最 终 实现 VLAN 间 的 三 层 互 通 。 

































































播 风暴 。 














该 方案 仅 在 S7700、S9300、S9300E 和 S9700 等 华为 高 端 S 系 列 交 换 机 中 支持 。 


VLAN 交 换 功 能 





pF 下。 





(1) 添加 外 层 VLAN 标 签 功 能 ， 即 VLAN Switch stack-vlan 功 能 。 
之 间 转 换 外 层 VLAN 标 签 ， 即 VLAN Switch switch-vlan 功 能 。 
VLAN Switch stack-vlan 功 能 与 VYLAN Stacking (VLAN 堆 营 ， 将 在 下 章 介绍 ) 功能 类 似 ， 也 是 一 种 针对 





(2) 在 不 同 接 口 

















Se 


VLAN Switch switch-vlan 功 能 与 YLAN Mapping (VLAN 了 映射， 将 在 下 章 





j 户 不 同 VLAN 封 装 外 





























表 6-11 VLAN Switch 功能 与 VLAN Stacking 功 能 比较 


功能 共同 点 


不 同 点 


优 缺 点 








stack-vlan 





(1) 接 口 在 收 到 的 
页 的 最 外 层 
VLAN 标签 外 , 再 
如 上 一 层 VLAN 
VLAN 未 答 
Switch 本 

(2) 端口 处 理 帧 
的 方式 一 样 ， 即 
端口 可 以 配置 多 
个 VLAN， 端 口 可 
以 给 不 同 VLAN 
的 帧 加 上 不 同 的 
外 层 标签 ， 端口 
在 接收 帧 时 ， 给 
VLAN 贞 加 上 外 层 标 
Stacking | 签 : 发 送 帧 时 ， 
剥 掉 帧 最 外 层 的 


标签 














VLAN Switch 功能 需要 预先 在 网 络 


所 上 


中 各 交换 节点 | 
路 径 。 交 换 节点 接 | 










- 建 


立 一 条 静态 转发 
到 符合 转发 条 件 


的 VLAN 报 文 后 ,根据 VLAN Switch 
表 将 报 文 直接 转发 到 相应 的 接口 ,无 


需 查看 MAC 地 址 
当 VLAN Switch 上 
全 局 VLAN 冲突 ， 


表 
! 的 任意 VLAN 与 
如 果 该 VLAN 已 


经 应 用 到 VLAN Switch 功能 中 ， 那 





么 全 局 中 将 无 法 创 


建 该 VLAN 


其 优点 是 报 文 转发 时 无 需 
查看 MAC 地 址 表 , 提高 了 
转发 效率 及 安全 性 ， 可 有 
效 地 避免 MAC 地 址 攻击 
及 广播 风暴 ; 其 缺点 是 如 
果 有 大 量 的 用 户 接 入 交换 
节点 ， 对 每 一 个 用 户 都 需 
要 进行 初始 配置 ， 建 立 静 
态 转 发 路 径 。 使 得 网 络 管 
理 者 的 任务 量 加 大 ， 不 利 
于 管理 








配置 VLAN Stacking 功能 后 , 报 文 的 


转发 需要 依赖 MA 


C 地 址 表 





其 优点 是 用 户 接 入 方便 ， 
不 需要 网 络 管理 者 进行 初 
对 配置 。 通 过 MAC 地 址 表 
指导 报 文 转发 ， 其 缺点 是 
报 文 的 转发 效率 低 ， 易 产 
生 广 播 风 暴 和 受到 MAC 
地 址 攻击 
































实现 不 同 VLAN 间 的 通信 。 与 VLAN Mapping 功 能 的 差异 如 表 6-12 所 示 。 


表 6-12 VLAN Switch 功能 与 VLAN Mapping 功 能 比较 











先 在 VLAN 3 内 以 广播 方式 发 送 一 个 ARP 请 求 帧 ， 查 寻 主 机 C 








的 MAC 地 址 改 为 


换 ) 也 可 以 实现 不 同 VLAN 间 的 通信 。VLAN 交 换 是 一 种 按照 YLAN 标 签 
进行 数据 转发 的 技术 ， 需 要 预先 在 网 络 中 的 各 交换 机 上 建立 一 条 静态 转发 路 径 。 当 交换 机 接收 到 符合 转发 
条 件 的 VLAN 数据 后 ， 根 据 VLAN 交换 表 将 报 文 直接 转发 到 相应 的 出 接口 ， 无 需 查 看 MAC 地 址 表 ， 提 高 
性 ， 可 有 效 地 避免 MAC 地 址 攻击 及 / 





层 VLAN 标 签 的 二 层 技术 。 与 VLAN Stacking 功 能 的 差异 如 表 6-11 所 示 。 


体 介绍 ) 功能 类 似 ， 也 可 以 


共同 点 


不 同 点 





(1) 接口 在 收 到 带 
有 VLAN 标签 帧 
后 ， 对 外 层 VLAN 
A 标签 进行 替换 操作 
Switch (2) 当 在 端口 上 配 
Switch-vlan 置 了 VLAN Switch 
或 VLAN Mapping 
功能 后 ， 端 口 在 向 
外 发 送 本 地 VLAN 
帧 时 ， 将 帧 中 的 
VLAN 标签 蔡 换 成 
外 部 VLAN 的 

VLAN 标签 
(3) 当 端口 在 接收 
VLAN | 外 部 VLAN 帧 时 ， 
Mapping | 将 帧 中 的 VLAN 
标签 奉 换 成 本 地 
VLAN 的 VLAN 
标签 














VLAN Switch 功能 需要 预先 在 网 络 
中 各 交换 节点 上 建立 一 条 静态 转发 
路 径 。 交 换 节 点 接收 到 符合 转发 条 
件 的 VLAN 报 文 后 ， 根 据 VLAN 
Switch 表 将 报 文 直接 转发 到 相应 的 
接口 ， 无 需 查 看 MAC 地 址 表 

当 VLAN Switch 中 的 任意 VLAN 与 
全 局 VLAN 冲突 ， 如 果 该 VLAN 已 
经 应 用 到 VLAN Switch 功能 中 ， 那 
么 全 局 中 将 无 法 创建 该 VLAN 


其 优点 是 报 文 转发 时 无 需 查 
看 MAC 地 址 表 ， 提 高 了 转 
发 效率 及 安全 性 ， 可 有 效 地 
避免 MAC 地 址 攻击 及 广播 
风暴 ; 其 缺点 是 如 果 有 大 量 
的 用 户 接 入 交换 节点 ， 对 每 
一 个 用 户 都 需要 进行 初始 配 
置 ， 建 立 静态 转发 路 径 。 使 
得 网 络 管理 者 的 任务 量 加 
大 ， 不 利于 管理 








(1) 配置 VLAN Mapping 功能 后 ， 
报 文 的 转发 需要 依赖 MAC 地 址 表 
(2) VLAN Mapping 实现 两 个 VLAN 
内 设备 互相 通信 时 ， 两 个 VLAN 内 
设备 的 IP 地 址 必须 处 于 同一 网 段 


其 优点 是 用 户 接 入 方便 ， 
不 需要 网 络 管理 者 进行 初 
始 配置 .通过 MAC 地 址 表 
指导 报 文 转发 ， 其 缺点 是 
报 文 的 转发 效率 低 ， 易 产 
生 广 播 风 暴 和 受到 MAC 
地 址 攻击 








以 上 所 介绍 的 三 种 VLAN 间 通 信 方 案 有 各 自 的 优 缺点 ， 适 用 的 网 络 环境 也 不 尽 相 同 ， 表 6-13 列 出 了 它 
们 之 间 的 基本 特性 比较 ， 用 户 可 根据 实际 组 网 环境 选择 合适 的 方案 部 署 。 








6.9.3 百 


划分 VLAN 后 ， 同 一 YLAN 内 的 | 

















表 6-13 三 种 VLAN 间 通信 方案 上 


VLAN 间 通 信 方 案 优点 缺点 








的 比较 


适用 场景 





属于 不 同 


三 层 的 用 户 ， 
VLANIF 接口 方案 
下 ， 随 出 
相通 信 
属于 不 同 


3 慰 的 用 户 ， 


以 太 网 子 接口 方案 | 路 由 可 达 的 前 提 


且 位 于 不 同 网 段 | 属于 不 同 VLAN, 那么 需要 


路 由 可 达 的 前 提 | 的 VLANIF 接口 ， 并 分 配 


且 位 于 不 同 网 有 





下 ， 随 时 
相通 信 


VLAN | 如 果 网 络 中 存在 多 个 用 户 
只 要 在 | 为 每 一 个 VLAN 创建 对 应 


可 以 互 | IP 地 址 ， 增 加 了 配置 工作 
量 目 占用 大 量 卫 地 址 资源 
如 果 网 络 中 存在 多 个 用 户 
属于 不 同 VLAN, 那么 需要 
只 要 在 | 在 设备 上 为 每 一 个 VLAN 
创建 一 个 子 接口 ， 并 分 配 
可 以 互 | 卫 地 址 ， 增 加 了 配置 工作 
量 且 占用 大 量 外 地 址 资源 











适用 于 规模 小 、IP 地 址 固定 的 
网 络 ， 且 用 户 属于 不 同 网 段 

如 果 VLAN 配置 比较 多 , 既 要 
进行 二 层 转 发 ， 又 要 进行 三 层 
转发 , 选择 使 用 VLANIF 接口 


适用 于 规模 小 的 网 络 ， 且 用 户 
属于 不 同 网 段 。 如 果 主 要 以 三 
层 转 发 为 主 ， 选 择 使 用 子 接口 





如 果 有 大 量 的 用 户 接 入 


VLAN Switch 方案 








报 文 转发 时 无 需 
查看 MAC 地 址 
表 ， 提 高 了 转发 
效率 及 安全 性 














] 户 可 以 互相 通信 ， 但 是 


交换 机 ， 需 要 对 每 一 个 用 
户 进行 初始 配置 ， 建 立 静 
态 转发 路 径 ， 使 得 网 络 管 
理 者 的 任务 量 加 大 


























适用 于 规模 小 、 网 络 环境 较 固 
定 的 场景 中 





属于 不 同 VLAN 的 用 户 不 能 直接 通信 。 为 了 


现 VLAN 间 通信 ， 可 通过 配置 逻辑 的 三 层 接口 一 一 VLANIF 接 口 来 实现 。 








VLANIF 是 逻辑 三 层 口 ， 配 置 IPH 








每 个 VLAN 创 建 对 应 的 逻辑 接口 VLANIF 接 口 ， 
有 目的 三 层 互通 ，VLAN 内 | 
配置 通过 VLANIF 接 口 实现 VLAN 间 通信 的 西 


了 成 功 实现 VLANI 














表 6-14 通过 VLANIF 接 口 








也 址 后 可 实现 网 络 层 互 通 。 通 过 VLANIF 接 口 实 
并 为 每 个 VLANIF 接 口 配置 IP 地 址 实 


| 





























决 省 网 关 必 须 对 应 VLANIF 接 











户主 机 的 4 
已 置 步 又 如 表 6-14 所 示 。 
实现 VLAN 间 通 


信 的 配置 步骤 





i 


2 


钢 VLAN 间 通信 需要 为 
三 层 互 通 。 另 外 ， 为 
口 的 IP 地 址 。 


system-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





interface vlanif vian-id 
例如 : [HUAWEI] interface 
vlanif 10 


进入 VLANIF 接口 视图 。 参 数 用 来 指定 要 配置 VLANIF 
接口 的 VLAN ID, 取 值 范围 为 1 一 4 094 整数 ,但 VLANIF 
接口 的 编号 必须 对 应 一 个 已 创建 的 VLAN。 且 只 有 当 
VLAN 内 存在 《至少 一 个 ) 状态 为 Up 的 物理 端口 时 ， 
该 VLAN 对 应 的 VLANIF 接口 状态 才 会 Up 








ip address ip-address 
{ mask | mask-length }[ sub ] 
例如 : [HUAWEI 一 Vlanif10] 
ip address 10.1.1.28 


damping time delay-time 
例如 : [HUAWEI-Vlanif10] 
damping time 10 


mtu miu 


例如 : [HUAWEI-Vlanif10] 
mtu 1492 





为 以 上 VLANIF 接口 配置 主 或 从 IP 地 址 , 以 实现 VLAN 
三 层 互 通 。 命 令 中 的 参数 说 明 如 下 。 

(1) ip-address: 指定 VLANIF 接口 的 IPv4 地 址 ， 为 点 
分 十 进 制 格式 

(2) mask: 二 选 一 参数 ， 指 定 以 上 配置 的 耳 地 址 所 对 应 
的 子 网 掩 码 ， 也 为 点 分 十 进 制 格式 

(3) mask-length: 二 选 一 参数 ， 指 定 以 上 配置 的 卫 地 址 
所 对 应 的 子 网 推 码 前 缀 长 度 ， 为 1 一 32 的 整数 

(4) sub: 可 选项 ， 指 定 所 配置 的 卫 地 址 为 从 IP 地 址 ， 
不 选择 此 可 选项 ， 则 所 配置 的 IP 地 址 为 主 IP 地 址 。 有 
时 为 了 使 交换 机 的 一 个 接口 能 够 与 多 个 子 网 相连 ， 可 以 
在 一 个 接口 上 配置 多 个 IP 地 址 。 主 IP 地 址 只 能 配置 一 
个 ， 但 可 以 配置 多 个 从 卫 地 址 。 当 配置 主 卫 地 址 时 ， 
如 果 接 口上 已 经 有 主 IP 地 址 ， 则 原 主 IP 地 址 被 删除 ， 
新 配置 的 IP 地 址 成 为 主 IP 地 址 

可 用 undo ip address [ ip-address { mask | mask-length } 
[ sub ] ] 命 令 删 除 VLANIF 接口 上 配置 的 指定 IP 地 址 
(可 选 ) 配置 VLAN Damping 功能 的 抑制 时 间 。 人 参数 
delay-time 用 来 指定 VLANIF 变 为 Down 的 延迟 时 间 ， 
取 值 范 围 为 0 一 20 的 整数 秒 

【说 明 】 为 吉 免 因 VLANIF 接口 状态 变化 引起 的 网 络 震 
荡 ， 可 在 VLANIF 接口 上 通过 本 命令 使 能 VLAN 
Damping 功能 。 这 时 ， 当 VLAN 中 最 后 一 个 处 于 Up 状 
态 的 成 员 端 口 变 为 Down 上 后， 启动 VLAN Damping 功能 
的 设备 会 抑制 设 定 的 时 间 后 再 上 报 给 VLANIF 接口 。 如 
果 在 抑制 的 时 间 内 VLAN 中 有 成 员 口 状态 变 为 Up， 则 
VLANIF 接口 状态 保持 Up 不 变 

缺 省 情况 下 ， 抑 制 时 间 是 0 秒 ， 表 示 去 使 能 VLAN 
Damping 功能 ， 可 用 undo damping time 命令 恢复 
VLANIF 变 为 Down 的 延迟 时 间 为 0 秒 








(可 选 ) 配置 VLANIF 接口 的 MTU (Maximum Transmission 
Unit， 最 大 传输 单元 )， 取 值 范围 为 128 一 9216 的 整数 字 节 
缺 省 情况 下 ，MTU 取 值 为 1500 字 节 ， 可 用 undo mtu 
命令 恢复 VLANIF 接口 的 最 大 传输 单元 为 缺 省 值 





【示例 1】 配 置 YLANIF2 接 口 


<HUAWEI>system-view 


bandwidth bandwidth 


例如 : [HUAWEI-Vlanif10] 
bandwidth 1000 





[HUAWEI] interface vlanif 2 
[HUAWEI-Vlanif2] ip address 10.1.1.2 8 
[HUAWEI-Vlanif2] ip address 11.1.1.3 255.0.0.0 sub 
【示例 2】 配 置 VLAN 10 向 VLANIF10 上 报 Down 的 延迟 时 间 为 10s， 并 配置 VLANIF10 的 最 大 传输 单 
元 为 1492 个 字 节 ， 带 宽 为 10000Mbit/s。 


<HUAWEI> system-view 
[HUAWEI] vlan 10 
[HUAWEI-vlan10] guit 


(可 选 ) 配置 VLANIF 接口 的 带宽 ， 取 值 范 围 是 1 一 
1000000 的 整数 Mbits。 配 置 VLANIF 接口 的 带宽 用 于 
网 管 获取 带宽 ， 便 于 监控 流量 




















( 续 表 ) 


的 主 IP 地 址 为 10.1.1.2， 从 IP 地 址 为 11.1.1.3， 子 网 掩 码 都 为 255.0.0.0。 


6.9.4 通过 VLANIE 接 口 实现 VLAN 间 通信 的 配置 示例 


[HUAWEH interface vlanif10 
[HUAWEI-Vlanif10] damping time10 
[HUAWEI-Vlanif10] mtu 1492 
[HUAWEI-Vlanif10] bandwidth 10000 
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本 示例 拓扑 结构 如 图 6-22 所 示 。 人 但 位 于 不 同 的 网 段 ， 而 相同 业务 
户 又 属 不 同 VLAN， 现 需要 实现 不 同 VLAN 中 的 用 户 相互 通信 。 如 User1 和 User2 中 拥有 相同 的 业务 ， 但 
属于 不 同 的 VLAN 且 位 于 不 同 的 网 段 。 现 需要 实现 User1 和 User2 互 通 。 












































Switch 





GE1/0/1 GE1/0/2 
VLANIF10 VLANIF20 
10.10.10.2/24 20.20.20.2/24 


:VLAN 10 : :viAN20: 
| Userl : : User2 : 
10.10.10.3/24 ; :20.20.20.3/24 





图 6-22 通过 VLANIF 接 口 实现 VLAN 间 通信 的 示例 











本 示例 很 简单 ， 基 本 配置 思路 如 下 。 

(1) 创建 VLAN， 确 定 用 户 所 属 的 VLAN。 

(2) 配置 端口 加 入 VLAN， 人 允许 用 户 所 属 的 VLAN 通 过 当前 端 
(3) 创建 VLANIF 接 口 并 配置 IP 地 址 ， 利 用 三 层 交换 机 的 it 用 出 功 BE 即 可 实现 三 层 互 通 。 
为 了 实现 VLAN 间 互通 ，VLAN 内 主机 的 缺 省 网 关 必须 配置 为 对 应 的 VLANIF 接 口 的 IP 地 址 。 



















































































步骤 如 下 。 





1) 批量 创建 VLAN 10 和 VLAN 20。 
<HUAWEI>system-view 
[HUAWEI] vlan batch 10 20 








2) 把 Userl1 和 User2 所 连接 的 交换 机 端口 分 别 加 入 对 应 的 VLAN 中 (端口 类 型 均 配置 为 Access 类 














[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] port link-type access 
[HUAWEI-GigabitEthernet1/0/1] port default vlan 10 
[HUAWEI-GigabitEthernet1/0/1] quit 

[HUAWEI] interface gigabitethernet 1/0/2 
[HUAWEI-GigabitEthernet1/0/2] port link-type access 
[HUAWEI-GigabitEthernet1/0/2] port default vlan 20 
[HUAWEI-GigabitEthernet1/0/2] quit 

3) 为 VLAN 10 和 VLAN 20 分 别 配 置 VLANIF 接 口 IP 地 址 。 
[HUAWEH interface vlanif10 

[HUAWEI-Vlanif10] ip address 10.10.10.2 24 
[HUAWEI-Vlanif10] quit 
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\ 体 配置 


[HUAWEI] interface vlanif 20 

[HUAWEI-Vlanif20] ip address 20.20.20.2 24 

[HUAWEI-Vlanif20] quit 

4) 在 VLAN10 中 的 Userl 主 机 上 配置 IP 
10.10.10.2/24; 在 VLAN20 中 的 User2 主 机 上 配置 IP 地 址 为 
20.20.20.2/24。 



































b 址 为 10.10.10.3/24， 绚 





省 网 关 为 VLANIEF10 接 口 的 IP 地 址 
缺 省 网 关 为 VLANIF20 接 口 的 卫 地 址 


0 





20.20.20.3/24， 
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配置 完成 后 ，VLAN10 内 的 User1 与 YLAN20 内 的 User2 能 够 相互 访问 ， 通 过 ping 命 令 即 可 进行 测试 。 
6.9.5 通过 VLANIF 接 口 实现 跨越 三 层 网 络 通信 的 配置 示例 
本 示例 拓扑 结构 如 图 6-23 所 示 。 Te 慨 交 换 机 SwitchA 和 SwitchB 的 下 面 都 连接 了 一 个 VLAN 
10 的 二 层 网 络 ， 要 求 SwitchA 和 SwitchB 之 间 通 过 OSPF 路 由 协议 实现 两 个 YLAN 10 二 层 网 络 中 的 用 户 PC 的 三 
层 互通 
SwitchA VLANIF30:30.30.30.2/24 SwitchB 
\ GE1/0/2 GE1/0/1 > 
VLANIF10:10.10.10.1/24 VLANIF10:20.20.20.1/24 
VLAN 10 
图 6-23 通过 VLANIF 接 口 跨越 三 层 网 络 实现 VLAN 间 通信 的 示例 
1. 配置 思路 分 析 
本 示例 与 上 一 节 介 绍 的 示例 在 配置 上 的 唯一 区 别 就 是 要 通过 OSPF 路 由 协议 实现 连接 在 不 同 网 络 中 的 不 
同 VLAN 间 三 层 互通 。 但 这 里 要 特别 注意 的 一 点 是 ， 目 前 在 华为 交换 机 中 仍 不 能 直接 在 物理 接口 上 配置 了 地 
址 ， 只 能 通过 把 物理 接口 放 进 一 个 YLAN 中 ， 然 后 为 YLAN 配 置 YLANIE 接 口 卫 地 址 来 实现 物理 接口 的 三 层 
化 。 
在 图 中 已 标识 了 各 VLANIF 接 口 的 下 地 址 ， 这 里 要 注意 ， 虽 然 同 为 YLAN 10， 但 因为 不 是 一 个 网 段 中 



































的 VLAN， 所 以 是 不 同 的 ， 可 以 为 它们 的 VLANIF 接 口 配 


置 不 dn 通过 OSPF 协 议 对 











过 OSPF 协 议 实 现 这 三 个 子 网 间 的 








通告， 就 相当 于 通 








10.10.10.0/24、20.20.20.0/24 和 30.30.30.0/24 三 个 子 网 
路 由 通信 。 
2. 配置 步骤 
SwitchA 上 的 配置 : 
(1) 创建 VLAN10 和 VLAN30。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 10 30 
(2) 把 GE1/0/1 和 GE1/0/2 端 口 均 配 置 为 Truank 类 型 ， 
[SwitchA] interface gigabitethernet 1/0/1 


























分 别 加 入 VLAN 10 和 VLAN 30 中 。 


[SwitchA-GigabitEthernet1/0/1] port link-type trunk 
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 
[SwitchA-GigabitEthernet1/0/1] quit 

[SwitchA] interfacegigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type trunk 
[SwitchA-GigabitEthernetL/0/2] port trunk allow-pass vlan 30 
[SwitchA-GigabitEthernet1/0/2] quit 




















【经 验 之 谈 】 如 果 你 是 一 位 细心 的 读者 ， 你 就 可 能 在 看 到 以 上 配置 时 产生 一 个 疑问 ， 为 什么 在 
根本 的 原因 还 是 因为 华为 $ 系 列 交 换 机 的 物理 





Gigabitethernet 1/0/2 端 口上 不 需要 同时 允许 VLAN 10 呢 ?其 实 最 
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和. 
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!--- 人 允许 VLAN 10 通 过 




















!--- 人 允许 VLAN 30 通 过 










































































口 不 能 直接 配置 IP 地 址 ， 是 二 层 接 口 ， 必 须 通 过 加 入 一 个 VLAN， 然 后 通过 对 应 的 VLANIF 接 口 来 实现 
与 三 层 之 间 的 转换 ， 配 置 IP 地 址 ， 进 行 三 层 通 信 。 这 里 的 VLANIF 接 口 其 实 就 相当 于 路 由 器 上 的 路 由 接 
。 至 于 接口 类 型 ， 其 实 无 所 谓 ， 因 为 在 三 层 通信 中 ， 数 据 到 达 交 换 机 后 ， 三 层 模 块 会 去 掉 数 据 链 路 层 协 























头 ， 包 括 VLAN 标 签 部 分 。 另 外 要 注意 的 是 ， 在 华为 系列 交换 机 中 同一 交换 机 中 各 VLAN 人 缺 省 都 是 三 层 





互通 的 。 
(3) 配置 VLANIF10 和 VLANIF30 的 IP 地 址 分 别 为 10.10.10.1/24 和 30.30.30.1/24。 


























[SwitchA] interface vlanif 10 
[SwitchA-Vlanif10] ip address 10.10.10.1 24 
[SwitchA-Vlanif10] quit 

[SwitchA] interface vlanif 30 
[SwitchA-Vlanif30] ip address 30.30.30.1 24 
[SwitchA-Vlanif30] quit 



































(4) 配置 DOSPF 路 由 ， 宣 告 VLAN 10 和 VLAN 30 所 对 应 的 网 段 。 有 关 OSPF 路 由 的 配置 请 参见 《华为 路 


















































器 学 习 指 南 》。 





















































[SwitchA] router id 1.1.1.1 !---- 配 置 路 由 器 ID (可 随意 ， 

[SwitchA] ospf 

[SwitchA-ospf-1] area 0 

[SwitchA-ospf-1-area-0.0.0.0] network10.10.10.0 0.0.0.255 

[SwitchA-ospf-1-area-0.0.0.0] network30.30.30.0 0.0.0.255 

[SwitchA-ospf-1-area-0.0.0.0] quit 

SwitchB 上 的 配置 : 
(1) 创建 VLAN10 和 VLAN30。 

<HUAWEI>system-view 

[HUAWEI] sysname SwitchB 

[SwitchB] vlan batch 10 30 


















































(2) 把 GE1/0/2 和 GE1/0/1 端 口 均 配 置 为 Trank 类 型 ， 分 别 加 入 VLAN 10 和 VLAN 30: 


[SwitchB] interface gigabitethernet 1/0/2 
[SwitchB-GigabitEthernet1/0/2] port link-type trunk 
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 
[SwitchB-GigabitEthernet1/0/2] guit 

[SwitchB] interface gigabitethernet 1/0/1 


通常 是 三 层 设备 的 lookback0 接 口 I P 地 址 ) 


= 
量 
Lg 
三 六 





告 VLAN 10 所 在 的 网 段 
告 VLAN 30 所 在 的 网 段 

















o 





[SwitchB-GigabitEthernet1/0/1] port link-type trunk 

[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 30 

[SwitchB-GigabitEthernet1/0/1] quit 

(3) 配置 YLANIF10 和 VLANIF30 的 IP 地 址 分 别 为 20.20.20.1/24 和 30.30.30.2/24。 

[SwitchB] interface vlanif 10 

[SwitchB-Vlanif10] ip address 20.20.20.1 24 

[SwitchB-Vlanif10] guit 

[SwitchB] interface vlanif30 

[SwitchB-Vlanif30] ip address 30.30.30.2 24 

[SwitchB-Vlanif30] guit 

(4) 配置 OSPF 路 由 ， 宣 告 YLAN 10 和 VLAN 30 所 对 应 的 网 段 。 

[SwitchB] router id 2.2.2.2 

[SwitchB] ospf 

[SwitchB-ospf-1] area 0 

[SwitchB-ospf-1-area-0.0.0.0] network20.20.20.0 0.0.0.255 

[SwitchB-ospf-1-area-0.0.0.0] network30.30.30.0 0.0.0.255 

[SwitchB-ospf-1-area-0.0.0.0] quit 

另外 ， 需 要 把 SwitchA 下 挂 的 二 层 网 络 中 PC 上 配置 缺 省 网 关 为 VLANIF10 接 口 的 耳 地 址 10.10.10.124;， 把 
SwitchB 下 挂 的 二 层 网 络 中 PC 上 配置 缺 省 网 关 为 VLANIF10 接 口 的 耳 地 址 20.20.20.1/24。 
配置 完成 后 ， 两 个 二 层 网 络 的 PC 就 可 实现 二 层 隔 离 ， 但 三 层 互通 。 





























































































































6.9.6 配置 通过 子 接口 实现 VLAN 间 通信 



































属于 不 同 VLAN 且 位 于 不 同 网 段 的 用 户 ， 可 通过 部 署 子 接口 、 配 置 IP 地 址 并 与 YLAN 相 关联 ， 通 过 三 
层 网 络 实现 VLAN 间 通信 。 同 样 ， 为 了 成 功 实现 VLAN 间 互通 ，VLAN 内 主机 的 缺 省 网 关 必 须 是 对 应 子 接 
的 IP 地 址 。 有 具体 的 配置 步骤 如 表 6-15 所 示 〈 仅 S5700HI 和 5710EI 子 系列 、S7700、S9300 和 S9700 系 列 华为 交 
换 机 支持 ) 。 
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表 6-15 通过 子 接口 实现 VLAN 间 通信 的 配置 步 又 



































步骤 命令 说 明 
System-view 3 
潜 2 因 
例如 : < HUAWEI > system-view 进入 系统 视图 
Interface { ethernet | 
gigabitethernet | 
Xgigabitethernet | eth-trunk } 和 二 刁 |)| 大 网 竺 过 十 -yy 
2 interface-number.subinterface-number 键入 要 配置 的 三 层 以 大 网 子 接口 ， 进 入 子 接口 视图 
例如 : [HUAWEIlinterface 
gigabitethernet 0/0/1.1 
为 以 上 子 接口 配置 主 、 从 IP 地 址 (但 交换 机 上 各 接口 
上 配置 的 所 有 IP 地 址 不 能 位 于 相同 子 网 ), 实现 三 层 互 
ip address ip-address 通 。 命 令 中 的 参数 说 明 如 下 。 四 
{ mask | mask-length } [ sub ] (1) ip-address: 指定 VLANIF 接口 的 IPv4 地 址 ， 为 点 
3 [HUAWEI-GigabitEthernet0/0/1.1] 分 十 进 制 格式 
ip address (2) mask: 二 选 一 参数 ， 指 定 以 上 配置 的 IP 地 址 所 对 
192.168.10.1 255.255.255.0 应 的 子 网 掩 码 ， 也 为 点 分 十 进 制 格式 
(3) mask-length: 二 选 一 参数 ， 指 定 以 上 配置 的 卫 地 
址 所 对 应 的 子 网 掩 码 前 级 长 度 ， 为 1 一 32 的 整数 

















( 续 表 ) 


命令 


说 明 





ip address ip-address 

{ mask | mask-length } [ sub ] 
[HUAWEI-GigabitEthernet0/0/1.1] 
ip address 

192.168.10.1 255.255.255.0 


(4) sub; 可 选项 ， 指 定 所 配置 的 IP 地 址 为 从 IP 地 址 ， 
不 选择 此 可 选项 ， 则 所 配置 的 IP 地 址 为 主人 地 址 。 有 
时 为 了 使 交换 机 的 一 个 接口 能 够 与 多 个 子 网 相连 , 可 以 
在 一 个 接口 上 配置 多 个 不 同 子 网 中 的 IP 地 址 。 当 配置 
主 IP 地 址 时 ,如 果 接 口上 已 经 有 主 IP 地 址 , 则 原 主 人 P 
地 址 被 删除 ， 新 配置 的 IP 地 址 成 为 主 IP 地 址 
缺 省 情况 下 ， 没 有 配置 耻 地 址 ， 可 用 undo ip address 
[ ip-address { mask | mask-length } [ sub ] ] 命 令 删除 子 
接口 上 配置 的 指定 IP 地 址 








dotlq termination vid low-pe-vid 
[to high-pe-vid ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1.1] 

dotlq termination vid 100 


配置 子 接口 dotlq 封装 的 单 层 VLAN ID。 命令 中 的 参 
数 说 明 如 下 。 

(1) 1ow-pe-vid: 指定 用 户 数 据 帧 中 的 VLAN 标签 的 取 
值 下 限 ， 取 值 范围 是 2 一 4 094 的 整数 

(2) high-pe-vid: 可 选 参数 , 指定 用 户 数据 帧 中 的 VLAN 
标签 的 取 值 上 限 ， 取 值 范围 是 2 一 4 094 的 整数 

【说 明 】〗 当 子 接口 用 于 三 层 转 发 时 ， 不 支持 将 通过 的 
VLAN 配置 成 一 段 。 不 同 主 接 口 下 的 子 接口 可 以 关联 相 
同 的 VLAN ID， 但 是 同一 主 接口 下 的 不 同 子 接口 一 定 
不 能 关联 相同 的 VLAN ID 

缺 省 情况 ， 子 接口 没有 配置 dotlq 封装 的 单 层 VLAN 
ID， 可 用 undo dotlq termination vid /low-pe-vid [ to 
high-pe-vid ] 命 令 取消 子 接口 dot1q 封 装 的 单 层 VLAN ID 





【示例 】 在 GE0/0/1.1 子 接口 


| 





的 ARP 广 播 功 能 。 


arp broadcast enable 
例如 : [HUAWEI - 
GigabitEthernet0/0/1.1] 
arp broadcast enable 














<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet 0/0/1.1 
[HUAWEI-GigabitEthernet0/0/1.1] dotlq termination vid 10 
[HUAWEI-GigabitEthernet0/0/1.1] arp broadcast enable 





6.9.7 通过 子 接口 实现 VLAN 间 通信 的 配置 示例 








使 能 子 接口 的 ARP 广播 功能 。 当 IP 数据 帧 需要 从 终结 
子 接口 发 出 ， 但 是 没有 相应 的 ARP 表 项 时 : 
(1) 如 果 接 入 设备 能 够 主动 发 送 ARP 数据 帧 ， 则 不 需 
要 配置 终结 子 接口 的 ARP 广播 功能 ， 就 可 以 实现 从 该 
口 的 转发 。 
(2) 如 果 接 入 设备 不 能 够 主动 发 送 ARP 数据 帧 , 但 终结 子 
接口 上 未 使 能 ARP 广播 功能 ， 那 么 系统 会 直接 把 该 下 数 
据 帧 丢弃 。 此 时 该 终结 子 接口 的 路 由 可 以 看 作 是 黑洞 路 由 。 
(3) 如 果 接 入 设备 不 能 够 主动 发 送 ARP 数据 帧 ， 但 终 
结子 接口 上 已 使 能 ARP 广播 功能 ， 那 么 系统 会 构造 带 
Tag 的 ARP 广播 数据 帧 ， 然 后 从 该 终结 子 接口 发 出 。 
缺 省 情况 下 ， 终 结子 接口 没有 使 能 ARP 广播 功能 ， 可 
用 undo arp broadcast enable 命令 去 使 能 终结 子 接口 
的 ARP 广播 功能 











上 配置 封装 方式 为 dot1q， 通 过 的 报 文 外 层 VLAN 标 签 为 10， 间 














本 示例 拓扑 结构 如 图 6-24 所 示 ， 企 业 的 不 同 部 门 拥有 相同 的 业务 ， 如 上 网 、VolP 等 业务 ， 且 各 个 部 门 
中 的 用 户 位 于 不 同 的 网 段 。 因 存在 不 同 的 部 门 中 相同 的 业务 所 属 的 VLAN 各 不 相同 的 现象 ， 现 需要 实现 相同 
业务 的 不 同 VLAN 中 的 用 户 相 互通 信 。 如 部 门 1 ( Departmentl1 ) 和 部 门 2 (Department2) 中 拥有 相同 的 
上 网 业务 ， 但 是 属于 不 同 的 VLAN 且 位 于 不 同 的 网 段 。 现 需要 实现 部 门 1 与 部 门 2 的 用 户 互通 。 







































































Switch 


GE1/0/1.1 
10.10.10.1/24 


GE1/0/2.1 
20.20.20.1/24 







SwitchA SwitchB 


Department1l 


10.10.10.2/24 20.20.20.2/24 
VLAN 10 VLAN 20 
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6-24 通过 子 接口 实现 VLAN 间 通信 的 示例 




















1. 配置 思路 分 析 

本 示例 很 显然 子 接口 必须 在 Switch 上 配置 ， 因 为 只 有 它 同时 连接 了 VLAN 10 和 VLAN 20。 在 此 仅 介 绍 
与 通过 子 接口 VLAN 间 通信 的 相关 配置 〈 可 直接 按照 表 6-23 所 示 的 步骤 分 别 为 YLAN 10 和 VLAN 20 创 建 对 
应 的 子 接口 ) ， 至 于 SwitchA 和 SwitchB 各 Trunk 接 口 的 配置 此 处 不 作 介绍 。 

2. 配置 步骤 

此 处 仅 介绍 Switch 上 的 相关 配置 。 

(1) 在 Switch 的 GE1/0/1 端 口上 创建 用 于 连接 SwitchA 下 面 的 VLAN 10 用 户 的 三 层 以 太 网 子 接口 

GE1/0/1.1， 并 封装 VLAN 10， 配 置 与 YLAN 10 所 在 网 段 相同 的 耳 地 址 。 

<HUAWEI>system-view 






































































































































[HUAWEI] interfacegigabitethernet1/0/1.1 

[HUAWEI-GigabitEthernet1/0/1.1] dot1q termination vid 10 

[HUAWEI-GigabitEthernet1/0/1.1] ip address 10.10.10.1 24 

[HUAWEI-GigabitEthernet1/0/1.1] arp broadcast enable 

[HUAWEI-GigabitEthernet1/0/1.1] quit 

(2) 在 Switch 的 GE1/0/2 端 口上 创建 用 于 连接 SwitchB 下 面 的 VLAN 20 用 户 的 三 层 以 太 网 子 接口 

GE1/0/2.1， 并 封装 VLAN 20， 配 置 与 VYLAN 20 所 在 网 段 相同 的 耳 地 址 。 

[HUAWEI] interface gigabitethernet 1/0/2.1 

[HUAWEI-GigabitEthernet1/0/2.1] dot1q termination vid 20 

[HUAWEI-GigabitEthernet1/0/2.1] ip address 20.20.20.1 24 

[HUAWEI-GigabitEthernet1/0/2.1] arp broadcast enable 

[HUAWEI-GigabitEthernet1/0/2.1] quit 

另外， 需要 在 VLAN 10 中 的 PC1 上 配置 缺 省 网 关 为 GE1/0/1.1 接 口 的 IP 地 址 10.10.10.1/24; 在 VLAN 
20 中 的 PC2 上 配置 缺 省 网 关 为 GE1/0/2.1 接口 的 卫 地 址 20.20.20.1/24。 
配置 完成 后 ，VLAN 10 内 的 PC1 与 VLAN 20 内 的 PC2 就 能 够 实现 三 层 互 通 了 。 
















































































6.9.8 配置 通过 VLAN Switch 实现 VLAN 间 通信 























VLAN Switch 是 一 种 按照 YLAN 标 签 进行 数据 转发 的 技术 ， 需 要 预先 在 网 络 中 的 各 交换 机 上 建立 一 条 静 
态 转发 路 径 。 当 交换 机 某 端口 在 接收 到 符合 转发 条 件 的 VLAN 数 据 后 ， 根 据 VLAN Switch 表 中 建立 的 外 层 
VLAN 了 映射 关系 将 数据 帧 蔡 换 外 层 VLAN 标 签 后 从 指定 端口 发 送出 去 ， 无 需 查 看 MAC 地 址 表 ， 提 高 了 转发 























Ml 
































效率 及 安全 性 ， 同 时 还 可 有 效 地 避免 MAC 地 址 攻 了 
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针对 用 户 不 同 VLAN 封 装 外 层 VLAN 标 签 的 二 层 技术 。 关 于 VLAN Switch stack-vlan 功 能 的 配置 将 在 本 章 后 面 

















和 置 VLAN Switch 实现 不 同 VLAN 间 互通 。 
VLAN Switch 功能 仅 在 SS7700、S9300、S9300E 和 S9700 等 华为 高 端 $ 系 列 交换 机 中 支持 ， 可 


于 














两 种 方式 实现 VLAN 间 通信 。 








(1) 蔡 换 外 层 VLAN 标 签 ， 





(2) 添加 外 层 VLAN 标 签 功能 ， 即 VLAN Switch stac 











介绍 QinQ 协 议 时 再 介绍 。 








2b ;学 





和 及 广播 风暴 。 在 规模 很 小 、 较 


即 VLAN Switch switch-vlan 功 能 ， 与 VLAN Mapping (VLAN 了 映射 ) 
似 ， 可 实现 VLAN 间 通信 。 本 节 主 要 介绍 VLAN Switch switch-vlan 功 能 的 配置 方法 。 


固定 的 网 络 环境 中 ， 可 以 





Me 


划 




















功能 类 





























k-vlan 功 能 ， 与 VLAN Stacking 功 能 类 似 ， 是 一 种 






































现 VLAN 间 





通过 VLAN Switch switch-vlan 功 能 实 通 


信 的 配置 步骤 很 简单 ， 只 需 在 系统 视图 





下 配置 vlan- 




















Switch vlan-switch-name interface interface-typel interface-numberl vlan vlan-id1 [ inner-vlan vlan-id2 [ to vlan- 











id3 ] ] interface interface-type2 interface-number2 [ switch-vlan vlan-id4 ] 命令 ， 配 置 VLAN Switch switch-vlan 功 


能 ， 蔡 换 外 


VLAN， 也 就 是 不 能 在 整个 网 络 中 都 存在 YLAN， 只 能 在 
switch-name 命 令 删 除 对 应 的 VLAN Switch 配置 。 
的 转换 外 层 VLAN 标签 功能 ， 将 GE1/0/1 端 口 


报 文 变换 成 带 有 VLAN 20 标 签 的 报 文 从 GE1/0/2 端 口 转发 出 去 。 
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6.9.9 i 





0 





民 VLAN 标 签 。 命 令 中 的 参数 说 明 如 下 。 
(1) vlan-switch-name: 指定 要 配置 的 VLAN Switch 
(2) interface-typel interface-number: 指定 要 替换 外 
































的 名 称 ， 长 度 为 1 一 32 的 字符 串 。 
民 VLAN 标签 的 交换 机 端口 ， 即 源 端口 。 

















(3) interface-type2 interface-number: 指定 替换 了 外 


(4) vlan-id1: 指定 蔡 换 前 的 外 层 VLAN ID。 


(5) vlan-id2 to vlan-id3: 可 


| 选 参数 ， 指 定 蔡 换 前 的 内 层 VLAN ID 或 一 个 VLAN ID 范 








层 VLAN 标 签 后 VLAN 帧 的 发 出 端口 ， 即 目的 端 








围 。 


(6) vlan-id4: 可 选 参数 ， 指 定 蔡 换 后 的 外 层 VLAN ID。 








市 


以 上 vlan id 参数 的 取 值 范围 














均 为 2 一 4 094， 但 要 注意 


三 12 机 三 志和 


，VLAN Switch 中 要 替换 成 的 VLAN 不 能 是 全 局 




















单个 设备 中 存在 VYLAN。 可 用 undo vlan-switch vlan- 












































【示例 】 配 置 VLAN Switch 








<HUAWEI>system-view 








接收 到 的 带 有 VLAN 10 标 签 的 


[HUAWEI] vlan-switch namel interfacegigabitethernet1/0/1 vlan 10 interfacegigabitethernet 1/0/2 switch-vlan 


















































前 过 VLAN Switch 实现 VLAN 间 通信 的 配置 示例 





连 ，SwitchA、SwitchB 的 下 行 接 








本 示例 拓扑 结构 如 图 6-25 所 示 。Switch 的 接 














10 内 的 PC 与 VLAN 20 内 的 PC 能 够 互 访 。 


口 GE1/0/1、GEL0/2 分 别 与 SwitchA、SwitchB 上 行 接口 
分 别 加 入 VLAN 10、VLAN 20。 现 要 通过 VLAN Switch 功 








相 
现 VLAN 


Ob lr 


尼 头 


Switch 






GE1/0/ GE1/0/2 
re das RN 
SwitchA RS ¥ SwitchB | 
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图 6-25 通过 VLAN SwitchVLAN 间 通信 的 配置 示例 





配置 方法 如 下 。 
(1) 配置 SwitchA、SwitchB 的 相关 接口 加 入 VLAN 〈 略 ) 。 
(2) 配置 Switch 的 VLAN Switch 功 能 。 把 GE1/0/1 端 口上 接收 到 的 VLAN 10 帧 中 的 VLAN 标 签 替 换 成 
VLAN 20， 然 后 从 GE1/0/2 端 口 发 送出 去 。 
<HUAWEI>system-view 



































[HUAWEI] vlan-switch namel interfacegigabitethernet1/0/1 vlan 10 interfacegigabitethernet1/0/2 switch-vlan 
20 

注意 

VLAN10、VLAN20 不 能 是 Switch 己 经 创建 的 全 局 VLAN， 且 GE1/0/1 端 口 不 能 加 入 VLAN 10，GE1/0/2 
端口 不 能 加 入 VLAN 20， 否 则 无 法 配置 VLAN Switch。 

配置 完成 后 ，VLAN10 内 的 PC 与 YLAN20 内 的 PC 能 够 相互 访问 。 从 中 看 出 ， 采 用 VLAN Switch 功能 实现 
VLAN 间 通信 的 配置 很 简单 。 










































































6.9.10 VLAN 间 通信 配置 管理 








配置 好 以 上 介绍 的 各 种 VLAN 间 通信 方案 后 ， 可 在 任意 视图 下 执行 以 下 display 命 令 查看 相关 的 配置 信 

息 ， 以 验证 配置 效果 。 

(1) 使 用 display vlan [ vlan-id [ verbose ] ] 命令 查看 所 有 VLAN 或 指定 VLAN 的 显示 信息 。 

(2) 使 用 display interface vlanif [ vlan-id ] 命令 查看 所 有 或 指定 VLANIF 接 口 的 状态 信息 、 配 置信 息 和 
统计 信息 。 用 户 可 以 根据 这 些 信息 进行 接口 的 故障 诊断 等 。 

(3) 使 用 display vlan-switch [ vlan-switch-name | interface interface-type interface- number ] 命令 查看 所 
有 或 指定 的 VLAN Switch 的 配置 信息 。 可 查看 的 信息 包括 VLAN Switch 名 称 、 源 接口 编号 、 源 VLAN 编 
号 、 目 的 接口 编号 、 目 的 VLAN 编 号 、 操 作 类 型 、VLAN Switch 当前 状态 。 









































































































































6.10 管理 VLAN 的 配置 与 管理 













































































在 华为 的 S 系 列 交 换 机 中 ， 物 理 接 口 都 是 不 能 直接 配置 卫 地 址 的 ， 在 进行 交换 机 的 远程 管理 〈 如 通过 远 
程 Telnet 方 式 访问 ) 中 ， 都 是 利用 VLANIF 逻 辑 接口 〈 或 者 其 他 逻辑 接口 ) 上 配置 的 IP 地 址 作为 管理 IP 地 
址 。 而 这 个 管理 IP 地 址 所 对 应 的 VLAN 称 为 “管理 VLAN”。 

一 般 情况 下 ， 任 意 VLAN 都 可 成 为 管理 VLAN (当然 ， 这 是 指 三 层 交 换 机 上 的 VLAN) ， 但 为 了 避免 
一 些 非 授 权 进 行 远 程 交换 机 管理 的 VLAN 用 户 对 交换 机 进行 非法 管理 ， 提 高 交换 机 的 安全 性 ， 在 华为 S 系 
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列 交换 机 中 一 旦 某 个 VLAN 被 配置 为 管理 


VLAN。 


理 



























































管理 VYLAN 功 能 部 署 成 功 后 ， 用 户 可 通过 管理 
从 而 实现 通过 远 端 设备 集中 管理 。 管 理 VLAN 功 外 
































EVLAN， 则 不 人 允 商 

















EVLAN 对 应 的 VLANIF 接 口 的 IP 地 址 Telnet 到 管 乔 
Eb 的 具体 配置 步 又 如 表 6-16 所 示 。 



































表 6-16 管理 VLAN 的 配置 步 又 


























system-view 
例如 : < HUAWEI> system-view 





进入 系统 视图 





FAccess 类 型 和 Dot1g-tunnel 类 





vlan vlan-id 
例如 : [HUAWEI] vlan 5 


创建 并 进入 要 配置 为 管理 VLAN 的 VLAN 视图 





management-vlan 
例如 : [HUAWEI-vlan5] 
management-vlan 


把 以 上 VLAN 配置 为 管理 VLAN。 使 用 management- 
vlan 命令 配置 VLAN 为 管理 VLAN 后 ， 不 允许 Access 
类 型 和 Dot1q-tunnel 类 型 接口 加 入 该 VLAN， 而 只 能 是 
trunk 或 hybrid 类 型 的 端口 

缺 省 情况 下 ， 该 VLAN 没有 配置 为 管理 VLAN， 可 用 undo 
management-vlan 命令 取消 配置 VLAN 为 管理 VLAN 





quit 
列 如 : [HUAWEI-vlan5] quit 


退出 VLAN 视图 ， 返 回 系统 视图 





interface vlanif vian-id 
如 :， [HUAWEI ] interface vlanif 


创建 以 上 管理 VLAN 的 VLANIF 接口 , 并 进入 VLANIF 
接口 视图 








管理 VLAN 对 应 的 VLANIF 接 口 IP 地 ] 











天 


EVLAN。 


ip address ip-address { mask | 
mask-length } [ sub ] 

例如 : [HUAWEI-Vlanif5] ip 
address 10.1.1.2 8 























为 以 上 管理 VLAN 的 VLANIF 接口 配置 主 或 从 人 PP 地址 。 
有 关 参 数 和 其 他 说 明 参 见 表 6-15 的 第 3 步 








丝 配 置 成 功 后 ， 可 通过 命令 telnet 登 录 到 管理 交换 机 实现 网 管 集 中 
设备 。 管 理 VLAN 配 置 成 功 后 ， 可 以 通过 display vlan 命令 查看 管理 VLAN 的 配置 信息 ， 带 有 * 的 VLAN 关 























型 端口 加 入 该 











交换 机 ， 
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哈 路 








第 7 童 ” 扩 展 VLAN 特 性 配置 与 管理 














7.1VLAN 聚 合 配置 与 管理 
7.2 MUX VLAN 配 置 与 管理 
7.3 QinQ 基 础 
7.4 基本 QinQ 配 置 与 管理 
7.5 灵活 QinQ 配 置 与 管理 
7.6 QinQ 映 射 配 置 与 管理 
7.7 VLAN 映 射 基础 
7.8 配置 1 to 1 的 VLAN 了 映射 
7.9 配置 2 to 1 的 VLAN 映 射 
7.10 配置 2 to 2 的 VLAN 了 映射 
第 6 章 我 们 介绍 了 VLAN 划 分 、VLAN 注 册 、VLAN 间 通信 、 管 理 VLAN 等 基本 特性 的 配置 与 管理 。 本 章 
接着 介绍 多 个 非常 重要 并 且 在 实际 的 网 络 设备 管理 中 经 常 使 用 的 扩展 VLAN 特 性 的 配置 与 管理 ， 如 VLAN 聚 
合 (Super-VLAN) 、VLAN 内 用 户 隔 离 《MUX VLAN) 、VLAN 了 映射 “VLAN Mapping) 、VLAN 多 标签 封 
装 《QinQ) 等 。 
以 上 这 些 扩 展 VLAN 特 性 是 为 了 解决 在 普通 VLAN 应 用 过 程 中 出 现 的 一 些 问 题 而 开发 的 。 如 VLAN 聚 合 
是 为 了 解决 普通 VLAN 间 通信 必须 使 每 个 VLAN 位 于 不 同 的 IP 子 网 ， 必 须 为 每 个 VLAN 配 置 VYLANIF 接 口 ， 
并 分 配 卫 地址 的 问题 MUX VLAN 是 为 了 达到 VLAN 内 部 用 户 间 的 二 层 隔离 的 目的 ， 同 时 可 实现 VLAN 间 的 
通信 ; VLAN 了 映射 可 解决 由 ISP 公 网 VLAN 到 用 户 私 网 VLAN 的 映射 问题 。 
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7.1VLAN 聚 合 配置 与 管理 

































































于 VLAN 本 身 基 本 特性 的 限制 ， 致 使 在 VLAN 的 使 用 过 程 中 又 遇 到 了 一 些 问题 。 如 在 普通 VLAN 间 通 
信 过 程 中 需要 为 每 个 YLAN 配 置 一 个 VLANIF 接 口 IP 地 址 ， 同 时 需要 为 每 个 VLAN 单 独 使 用 一 个 IP 子 网 ， 这 
样 就 会 导致 整个 公司 网 络 IP 子 网 数 可 能 非常 多 ， 最 终 也 将 导致 卫 地 址 浪费 的 现象 也 非常 严重 。 为 了 解决 这 
一 问题 ， 就 诞生 了 一 种 可 以 聚合 多 个 不 配置 VLANIF 接 口 的 超级 VLAN (Super-VLAN) 技术 ， 即 本 节 将 要 
介绍 的 VLAN 聚 合 (VLAN Aggregation) 技术 。 这 个 超级 VLAN 可 以 包含 多 个 位 于 同一 IP 子 网 的 VLAN， 并 
且 只 需要 使 用 一 个 VLANIF 接 口子 地 址 作为 各 成 员 VLAN 的 共同 网 关 即 可 实现 同一 超级 VLAN 内 不 同 成 员 
VLAN 间 ， 以 及 与 外 部 网 络 间 的 通信 。 
本 项 扩展 VLAN 特 性 除了 S1700、S2700SI 系 列 外 的 其 他 所 有 华为 $ 系 列 交换 机 均 支 持 。 











































































































7.1.1 普通 VLAN 部 署 的 不 足 





























在 普通 的 VLAN 部 署 中 ， 一 般 是 采用 一 个 VLAN 对 应 一 个 三 层 VLANIFE 逻 辑 接口 的 方式 实现 VLAN 间 的 

互通 。 这 样 部 署 的 结果 就 导致 了 IP 地 址 的 浪费 ， 因 为 这 样 部 署 后 每 个 YLAN 都 需要 使 用 一 个 独立 的 IP 子 网 ， 

而 且 要 为 每 个 VLAN 配 置 一 个 带 有 IP 地 址 的 VLANIF 接 口 。 
如 图 7-1 所 示 ， 在 一 个 三 层 交换 机 (L3 Switch) 上 部 署 了 3 个 VLAN (VLAN 2、VLAN 3 和 VLAN 

4) ， 并 为 它们 创建 了 三 层 VLANIF 接 口 ， 各 配置 了 一 个 他 地 址 ， 以 便 实现 这 3 个 VLAN 间 的 三 层 通信 。 现 

如 果 VLAN 2 中 预计 未 来 有 10 个 主机 地 址 的 需求 ， 则 至 少 要 为 其 分 配 一 个 子 网 掩 码 长 度 是 28 的 子 网 





























































































































1.1.1.0/28， 同 时 需要 为 其 配置 一 个 缺 省 网 关 地 址 ， 即 VLANIF2 的 卫 地 址 〈 假 设 为 1.1.1.1) ， 这 样 一 来 该 子 
网 中 可 以 分 配给 主机 使 用 的 耳 地 址 共 13 个 ， 尽 管 VLAN 2 只 需要 10 个 地 址 。 
































L3 Switch 


VLANIF2:1.1.1.1 VLANIF4:1.1.1.25 







VLANIF3:1.1.1.17 


L2 Switch 







L2 Switch L2 Switch 


1.1.1.24/30 














图 7-1 普通 VLAN 配 置 方式 的 IP 地 址 分 配 示例 


















































同 理 ， 如 果 VLAN 3 中 预计 未 来 有 5 个 主机 地 址 的 需求 ， 至 少 需要 分 配 一 个 子 网 掩 码 长 度 是 29 的 子 网 
1.1.1.16/29， 也 要 配置 一 个 缺 省 网 关 地 址 ， 即 VLANIF3 的 卫 地 址 《假设 为 1.1.1.17) 。 如 果 VLAN 4 中 预计 未 
来 只 有 1 个 主机 ， 则 至 少 要 分 配 一 个 子 网 掩 码 长 度 是 30 的 子 网 1.1.1.24/30， 也 要 配置 一 个 缺 省 网 关 地 址 ， 即 
VLANIF4 的 IP 地 址 (假设 为 1.1.1.25) 。 此 时 ， 这 三 个 VLAN 所 属 子 网 的 卫 地 址 分 配 如 表 7-1 所 示 。 



















































































表 7-1 普通 VLAN 配 置 方 式 下 的 主机 IP 地 址 分 配 示例 


A 


bl 


























1.1.1.16129 | 1.1.1.17 
1.1.1.24/30 1.1.1.25 


从 以 上 介绍 可 以 看 出 ， 这 三 个 VLAN 一 共 只 需要 16 (=10+5+1) 个 主机 IP 地 址 ， 但 是 按照 以 上 普通 
VLAN 的 编 址 方式 ， 即 使 最 优化 的 方案 也 需要 占用 28 (=16 十 8 十 4) 个 IP 地 址 ， 浪 费 了 将 近 一 半 的 地 址 。 而 
且 如 果 VLAN 2 后 来 并 没有 10 台 主机 ， 而 实际 只 接 入 了 3 台 主 机 ， 那 么 多 出 来 的 地 址 也 会 因 不 能 再 被 其 他 
VLAN 使 用 而 浪费 掉 。 

另外 ， 这 种 划分 也 给 后 续 的 网 络 升级 和 扩展 带 来 了 很 大 不 便 。 假 设 VLAN 4 今后 需要 再 增加 两 台 主 机 ， 
但 1.1.1.24/30 后 面 的 地 址 已 经 分 配给 了 其 他 VLAN， 如 果 又 不 想 改变 已 经 分 配 的 卫 地 址 ， 则 只 能 再 给 VLAN 
4 的 新 用 户 重新 分 配 一 个 的 29 位 掩 码 的 子 网 和 一 个 新 的 VLAN。 这 样 VLAN4 中 的 客户 虽然 只 有 3 台 主 机 ， 但 
是 却 被 分 配 在 两 个 子 网 中 ， 并 且 也 不 在 同一 个 VLAN 内 ， 不 利于 网 络 管理 。 

综 上 所 述 ， 普 通 VLAN 配 置 方式 下 ， 很 多 IP 地 址 被 子 网 网 络 地 址 、 子 网 定向 广播 地 址 、 子 网 缺 省 网 关 地 
址 (就 是 各 VLANIF 接 口 IP 地 址 〉 消耗 掉 ， 而 不 能 用 于 VLAN 内 的 主机 。 同 时 ， 这 种 地 址 分 配 的 约束 也 降低 
了 编 址 的 灵活 性 ， 使 许多 闲置 地 址 也 被 浪费 掉 。 为 了 解决 这 一 问题 就 诞生 了 本 节 所 要 介绍 的 技术 一 一 VLAN 
Aggregation (VLAN 聚 合 ) 。 










































































































































































































































































7.1.2 VLAN 聚 合 及 优势 体现 





VLAN 聚 合 技 术 就 是 把 多 个 不 配置 三 层 VLANIF 接 口 ， 同 处 一 个 IP 子 网 的 VLAN ( 称 之 为 Sub-VLAN) 
当 作 一 个 大 的 、 配 置 三 层 VLANIF 接 口 的 VLAN( 称 为 Super-VLAN) 的 成 员 。 这 些 同一 IP 子 网 下 的 多 个 
Sub-VLAN 间 可 以 实现 用 户 的 二 层 隔离 ， 同 时 这 些 成 员 VLAN 间 又 可 通过 上 层 的 Super-VLAN 配 置 的 三 层 
























































VLANIF 接 口 了 了 地 址 作为 缺 省 网 关 在 各 成 员 VLAN 间 ， 以 及 与 网 络 中 其 他 VLAN 间 进行 通信 。 
1. VLAN 聚 合 中 的 两 类 VLAN 
在 VLAN 聚 合 中 涉及 到 以 下 两 类 VLAN。 

(1) Super-VLAN: 可 以 把 它 看 成 是 一 个 大 的 VLAN， 或 者 说 它 是 Sub-VLAN 的 上 层 VLAN。 但 它 与 
通常 意义 上 的 VLAN 不 同 ， 因 为 它 的 成 员 就 是 下 面 要 介绍 的 Sub-VLAN， 而 不 是 交换 机 端口 (里 面 不 能 添 
加 交换 机 端口 ) ， 但 需要 创建 三 层 VLANIF 接 口 〈 所 以 Super-VLAN 只 能 在 三 层 交 换 机 上 创建 ) ， 并 配置 
了 地址 。 每 个 VLAN 聚 合 中 只 能 有 一 个 Super-VLAN 。 

(2) Sub-VLAN: 它 是 Super-VLAN 的 成 员 ， 每 个 VLAN 聚 合 中 可 以 有 一 个 或 多 个 Sub-VLAN 。 各 Sub- 
VLAN 成 员 都 同 处 于 一 个 IP 子 网 中 ， 用 来 对 同一 JP 子 网 中 的 不 同 用 户 进行 二 层 隔 离 ， 但 不 能 创建 三 层 
VLANIF 接 口 (可 以 在 二 层 或 三 层 交 换 机 上 创建 ) 。 这 些 Sub-VLAN 中 的 成 员 就 是 各 用 户 所 连接 的 交换 机 
端口 ， 但 各 个 Sub-VLAN 中 的 用 户 网 关 IP 地 址 都 是 Super-VLAN 的 VLANIF 接 口 JP 地 址 ， 以 实现 Sub-VLAN 成 
员 间 ， 以 及 与 外 部 网 络 的 三 层 通信 。 

一 个 Super-VLAN 可 以 包含 一 个 或 多 个 Sub-VLAN， 它 们 的 关系 可 以 用 图 7-2 来 表示 (图 中 的 Super- 
VLAN 包 括 了 4 个 Sub-VLAN) 。 在 同一 个 Super-VLAN 中 ， 无 论 主机 属于 哪 一 个 Sub-VLAN， 它 的 IP 地 址 都 
在 Super-VLAN 的 VLANIF 接 口 人 PP 地 址 所 对 应 的 人 P 子 网 内 。 这 样 各 Sub-VLAN 共 用 同一 个 三 层 VLANIF 接 口 ， 
既 减少 了 一 部 分 子 网 网 络 地 址 、 子 网 缺 省 网 关 地 址 和 子 网 定向 广播 地 址 的 消耗 ， 又 实现 了 不 同 广播 域 〈 也 
就 是 各 Sub-VLAN) 使 用 同一 下子 网 地 址 的 目的 。 消 除了 子 网 差异 ， 增 加 了 编 址 的 灵活 性 ， 减 少 了 闲置 地 址 
浪费 。 
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VLANIF 接 口 
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图 7-2 Super-VLAN 和 Sub-VLAN 的 关系 示意 











2. VLAN 聚 合 优 势 示 例 

仍 以 表 7-1 所 示例 子 进行 说 明 。 假 设 用 户 需 求 不 变 ， 仍 旧 是 VLAN 2 预计 未 来 有 10 个 主机 地 址 的 需求 ， 
VLAN 3 预计 未 来 有 5 个 主机 地 址 的 需求 ，VLAN 4 预计 未 来 有 1 个 主机 地 址 的 需求 。 

按照 YLAN 聚 合 的 实现 方式 ， 新 建 VLAN 10 并 配置 为 Super-VLAN， 给 其 分 配 一 个 子 网 掩 码 长 度 是 24 的 
子 网 1.1.1.0/24， 并 配置 其 VLANIF 接 口 IP 地 址 为 1.1.1.1， 如 图 7-3 所 示 。 此 时 各 Sub-VLAN (VLAN2、 
VLAN3、VLAN4) 的 IP 地 址 分 配 如 表 7-2 所 示 。 
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图 7-3 VLAN 聚 合 配置 方 
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Host IP 














式 的 耻 地 址 分 配 示例 


表 7-2 VLAN 聚 合 配置 方式 下 的 主机 IP 地 址 分 配 示例 





子 网 网 关 地 址 可 用 地 址 数 可 用 主机 数 实际 需求 





| 141.1.2 一 1.1.1.11 10 





| 11.1.12 一 1.1.1.16 





| L112 | 1 


























从 表 7-2 可 以 看 出 ， 在 VLAN 育 合 的 实现 中 ， 各 Sub-VLAN 间 的 界线 也 不 再 是 从 前 的 子 网 界线 了 【因为 它 
们 同 处 一 个 IP 子 网 中 ) ， 它 们 可 以 根据 其 各 自主 机 的 需求 数目 在 Super-VLAN 对 应 子 网 内 灵活 地 划分 地 址 范 


























围 。 另 外 ，VLAN 2、VLAN 




















3 和 VLAN 4 共用 同一 个 IP 




















子 网 〈1.1.1.0/24) 、 同 一 个 子 网 缺 省 网 关 地 址 








(1.1.1.1) 和 同一 个 子 网 定向 广播 地 址 〈1.1.1.255) 。 这 样 ， 普 通 VLAN 实 现 方式 中 用 到 的 其 他 子 网 网 络 地 








址 〈1.1.1.16、1.1.1.24) 和 子 
1.1.1.23、1.1.1.27) 都 可 以 | 












































5+1) 个 IP 地 址 ， 再 加 上 子 网 





























网 缺 省 网 关 地 址 〈1.1.1.17、1.1.1.25) ， 以 及 子 网 定向 广播 地 址 (1.1.1.15、 
来 作为 主机 IP 地 址 使 用 了 。 
网 络 地 址 〈1.1.1.0) 、 子 网 缺 省 网 关 地 址 〈1.1.1.1) 和 子 网 定向 广播 地 址 








也 正 因 如 此 ， 以 上 这 三 个 VLAN 一 共 需 要 16 (=10 十 








《1.1.1.255) ， 一 共用 去 了 19 个 IP 地 址 ， 该 网 段 内 仍 剩余 255 一 19 二 236 的 地 址 可 以 被 任意 Sub-VLAN 内 的 主 








机 使 用 ， 显 得 更 加 灵活 ， 更 加 实用 。 





7.1.3 Sub-VLAN 通 信 原 理 











在 VLAN 聚 合 中 ，Super-VLAN 和 Sub-VLAN 都 存在 一 些 特殊 性 ， 如 Super-VLAN 必 须 配置 三 层 VLANIF 














接口 ， 但 不 能 有 交换 机 端口 成 员 ， 各 个 Sub-VLAN 成 员 同 处 Super-VLAN 的 VLANIF 接 口 IP 地 址 所 在 的 一 个 
IP 子 网 中 ， 必 须 有 交换 机 端口 成 员 ， 但 都 不 能 配置 三 层 的 VLANIF 接 口 。 正 因 有 以 上 这 些 特殊 性 ， 造 成 了 











Sub-VLAN 之 间 ， 或 者 与 外 部 网 络 间 的 二 、 











层 通 信也 存在 一 定 的 特殊 性 。 本 节 要 分 别 予 以 介绍 。 



































1. Sub-VLAN 间 的 三 层 通 信 原 理 























VLAN 聚合 在 实现 了 不 同 Sub-VLAN 间 共 用 一 个 IP 子 网 地 址 的 同时 也 带 来 了 Sub-VLAN 间 的 三 层 转发 
问题 。 因 为 在 普通 VLAN 实 现 方式 中 ，VLAN 间 的 主机 可 以 通过 各 自 不 同 的 网 关 〔( 即 各 自 的 VLANIF 接 口 IP 
地 址 ) 进行 三 层 转发 来 达到 互通 的 目的 。 但 是 在 VLAN 
使 用 的 是 同一 个 也 子 网 中 的 卫 地 址 和 同一 个 网 关 耿 地址 ， 即 使 是 属于 不 同 的 Sub-VLAN 的 主机 ， 所 以 这 些 主 
机 彼此 通信 时 只 会 做 二 层 转 发 ， 而 不 会 通过 网 关 进 行 三 层 转 发 。 而 实际 上 不 同 的 Sub-VLAN 的 主机 在 二 层 
























































聚合 方式 下 ， 由 于 同一 个 Super-VLAN 内 的 所 有 主机 





























是 相互 隔离 的 ， 这 就 造成 了 Sub-VLAN 间 无 法 二 层 和 三 层 通信 的 问题 。 


解决 以 上 问题 的 方法 就 是 在 作为 这 些 Sub-VLAN 网 关 的 Super-VLAN 的 VLAN 接 口 
Proxy (ARP 人 代理) 功能 ， 使 这 个 VLANIF 接 
































上 启用 ARP 
的 主机 间 通 信和 的 ARP 人 代理， 代理 接收 和 转 












































口 作 为 各 Sub-VLAN' 





























发 这 些 主机 间 的 ARP 查 寻 请 求 和 响应 包 ， 以 最 终 实 现 各 Sub-VLAN 间 的 三 层 通信 。 有 关 ARP 代 理 的 具体 知识 




















和 配置 方法 i 
如 图 





























3) 。VLAN 2 内 的 主机 A 与 VLAN 3 内 的 主机 B 的 通信 过 程 如 下 【假设 此 时 主机 A 的 ARP 了 映射 表 : 





参见 本 书 第 16 章 相关 内 容 。 
7-4 所 示 ， 在 L3 Switch 上 创建 的 Super-VLAN (VLAN 10) 包含 Sub-VLAN (VLAN 2 和 VLAN 


























无 主机 B 








的 对 应 表 项 ， 且 在 网 关 L3 Switch 上 使 能 了 Sub-VLAN 间 的 ARP 代 理 功 能 








(1) 主机 A 将 主机 B 的 了 P 地 址 (1.1.1.3) 和 自 
同一 个 IP 子 网 中 ， 但 是 主机 A 的 ARP 映 射 表 中 无 主机 B 的 对 应 表 项 。 
播 请 求 包 ， 请 求 查询 主机 B 的 MAC 地 址 。 




















L3 Switch 
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Port2 
Super VLAN 10 
VLANIF10:1.1.1.1/24 


Switch1 Switch2 


VLAN2 VLAN3 


Host B 
1.1.1.3/24 


Host A 
1.1.1.2/24 


























里 功能 实现 不 同 Sub-VLAN 间 的 三 层 通信 示例 














图 7-4 通过 ARP 代 

















己 所 在 网 段 1.1.1.0/24 进行 比较 ， 发 现 主 机 B 和 自己 在 
于 是 主机 A 在 本 VLAN 内 发 送 一 ARP 广 

















(2) 由 于 主机 B 并 不 在 主机 A 所 在 的 VLAN 2 内 ， 无 法 接收 到 主机 A 的 这 个 ARP 请 求 。 但 由 于 在 网 关 
(Super-VLAN 的 VLANIF 接 口 ) 上 使 能 了 Sub-VLAN 间 的 ARP 代 理 功 能 ， 所 以 当 网 关 收 到 主机 A 的 ARP 请 求 














后 ， 开 始 在 路 

















表 中 查找 ， 发 现 ARPi 






































路 由 ， 则 网 关 向 所 





求 中 的 目的 主机 B 的 人 地址 (1.1.1.3) 为 直 连 接口 



































有 其 他 Sub-VLAN 中 发 送 一 个 ARP 广 播 包 ， 代 


等 主机 A 请 求 查询 主机 B 的 MAC 地 址 。 









































(3) 在 各 Sub-VLAN 中 只 有 了 地 址 与 ARP 请 求 包 中 的 目的 卫 地 址 一 致 的 主机 才 会 做 出 响应 。 所 以 在 主 
机 B 收 到 网 关 发 送 的 ARP 广 播 包 后 ， 对 此 请 求 进行 ARP 应 答 。 

(4) 在 网 关 收 到 主机 了 B 的 应 答 后 ， 建 立 一 个 主机 B 的 ARP 表 项 ， 然 后 以 自己 的 MAC 地 址 作为 源 MAC 地 
址 《其 实 是 想 作为 主机 B 的 MAC 地 址 ) 向 主机 A 发 送 一 个 ARP 应 答 包 。 

(5) 在 主机 A 收 到 来 自 网 关 的 应 答 帧 后 ， 就 以 网 关 MAC 地 址 作为 主机 B 的 MAC 地 址 建立 主机 也 的 
ARP 表 项 。 然 后 主机 A 便 修改 要 发 送 给 主机 B 的 数据 帧 中 的 目的 MAC 地 址 《目的 耳 地 址 不 变 ， 仍 为 主机 B 
的 IP 地 址 〉 为 网 关 的 MAC 地 址 (其 实 ， 主 机 A 并 不 知道 这 个 MAC 地 址 不 是 主机 B 的 MAC 地 址 ) ， 把 数据 发 











给 网 关 〔( 因 为 对 于 主机 A 来 说 ， 它 认为 主机 B 的 MAC] 
(6) 网 关 在 收 到 主机 A 发 来 的 数据 包 后 ， 根 据 划 
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地 址 就 是 网 关 的 MAC 地 址 ) 。 
前 面 为 主机 B 所 创建 的 ARP 映 射 表 项 ， 修 改 帧 中 的 
























































的 MAC 地 址 为 真实 的 主机 B 的 MAC 地 址 ， 然 后 转发 数据 包 到 主机 B 上 ， 实 现 位 于 不 同 Sub-VLAN 中 的 主机 间 














的 三 层 通信 。 


























主机 B 发 送 数据 帧 给 主机 A 的 过 程 与 上 述 的 主机 A 到 主机 B 的 数据 帧 流程 类 似 ， 不 再 更 述 。 




































































【经 验 之 谈 】 从 以 上 通过 ARP 代 理 实现 不 同 VLAN 间 三 层 通信 的 原理 可 以 得 出 ， 在 每 个 VLAN 中 的 主 




















机 最 终 只 能 创建 本 广播 域 中 的 节点 (包括 网 关 ) ARP 映 射 表 项 ， 因 为 通过 






































网 关 得 到 的 ARP 应 答 包 中 的 源 


MAC 地 址 都 是 网 关 自 己 的 MAC 地 址 ， 而 不 是 真正 的 外 部 YLAN 或 网 络 中 主机 的 MAC 地 址 。 只 不 过 通过 ARP 
代理 功能 可 以 使 网 关 在 与 其 相连 的 其 他 VLAN 或 网 络 中 代理 发 送 ARP 请 求 ， 以 解析 外 部 VLAN 或 网 络 中 的 主 





























YH 














机 MAC 地 址 。 
2. Sub-VLAN 与 外 部 网 络 的 二 层 通 信 























我 们 知道 ，Super-VLAN 与 各 个 Sub-VLAN 是 作为 一 个 整体 与 外 部 网 络 进行 通信 的 ， 那 么 作为 Super- 


VLAN 成 员 的 Sub-VLAN 在 实际 的 VLAN 帧 传输 中 又 该 如 何 识别 和 处 理 帧 























Super-VLAN 中 没有 物理 端口 成 员 〈 也 就 是 没有 任何 一 个 物理 端 


















































的 VLAN 标 签 呢 ?原来 ， 

















于 








加 入 了 Super-VLAN) ， 所 以 在 基于 端口 





划分 的 VLAN 〈 不 能 像 基于 MAC 地 址 、 了 了 子 网 、 协 议 类 型 和 策略 的 动态 YLAN 划 分 的 YLAN， 因 为 这 些 的 
VLAN 中 端口 成 员 可 动态 加 入 ) 的 二 层 通 信 中 ， 无 论 是 数据 帧 进入 交换 机 端口 还 是 从 交换 机 端口 发 出 都 不 会 















































有 针对 Super-VLAN 的 数据 帧 。 




















VLAN 10 的 Sub-VLAN 而 变 为 VLAN10 的 标签 。 该 数据 帧 从 Trunk 类 型 的 接口 Port3 出 去 时 ， 依 然 是 携 






























































如 图 7-5 所 示 ， 在 Switch1 上 创建 了 Supuer-VLAN 10， 以 及 VLAN 2 和 VLAN 3 这 两 个 Sub-VLAN。 这 样 从 


HostA 侧 Port1 进 入 设备 Switch1 的 帧 会 被 打上 VLAN 2 的 标签 ， 在 Switch1 中 这 个 标签 不 会 因为 VLAN2 是 














带 


~ 





VLAN 2 的 标签 。 也 就 是 说 ， Switch1 本 身 不 会 发 出 YLAN 10 的 数据 帧 。 就 算 其 他 设备 有 VLAN 10 的 数据 帧 
发 送 到 该 设备 上 ， 这 些 数据 帧 也 会 因为 Switch1 上 没有 VLAN 10 对 应 的 物理 端口 成 员 而 最 终 被 丢弃 。 
























































的 顺序 上 还 需要 注意 以 下 两 个 方面 。 












































但 一 定 要 注意 ，Super-VLAN 中 绝对 不 能 存在 物理 端口 的 。 此 时 在 配置 Trunk 站 
































莉 口 和 创建 Super-VLAN 


(1) 如 果 先 配置 了 Super-VLAN， 再 配置 Trunk 接 口 时 ，Trunk 的 VLAN 许 可 列表 项 里 就 自动 滤 除 了 
Super VLAN。 如 图 7-5 所 示 ， 虽 然 Switch1 的 Port3 人 允许 所 有 的 VLAN 通 过 ， 但 是 也 不 会 有 做 为 Super-VLAN 的 


















































VLAN 10 的 数据 帧 从 该 接口 进出 。 






























































(2) 如 果 先 配 好 了 Trunk 端 口 ， 并 允许 所 有 VLAN 通 过 ， 则 在 此 设备 上 将 无 法 配置 Super-VLAN 












































原因 就 是 有 物理 端口 的 VLAN 都 不 能 被 配置 为 Super-VLAN， 而 配置 允许 所 有 VLAN 通 过 


















































Il 于 























3. Sub-VLAN 与 外 部 网 络 的 三 层 通信 原理 



















































































Nn 





























。 本 质 

则 该 Trunk 端 口 就 
动 成 为 所 有 VLAN 的 成 员 ， 这 样 自 然 所 有 VLAN 都 不 能 配置 为 Super-VLAN 了。 对 于 图 7-5 中 的 Switch1 而 
， 有 效 的 VLAN 只 有 VLAN 2 和 VLAN 3， 所 有 的 数据 帧 都 在 这 两 个 VLAN 中 转发 。 


























前 面 说 了 ， 所 有 Sub-VLAN 都 是 通过 Super-VLAN 的 VLANIF 接 口 作 为 网 关 与 外 部 网 络 进 行 三 层 通信 的 。 
下 面 以 图 7-6 所 示 的 示例 介绍 Sub-VLAN 与 外 部 网 络 的 三 层 通 信 原 理 。 
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图 7-6 Sub-VLAN 与 外 部 网 络 的 三 层 通信 示例 


























在 本 示例 中 ，Switch1 上 配置 了 Super-VLAN 4，Sub-VLAN 2 和 Sub-VLAN 3， 并 配置 一 个 普通 的 VLAN 
10; Switch2 上 配置 两 个 普通 的 VLAN 10 和 VLAN 20。 假 设 Super-VLAN 4 中 的 Sub-VLAN 2 下 的 主机 A 想 访 
问 与 Switch2 相 连 的 主机 C (位 于 VLAN 20 中 ) ， 则 通信 过 程 如 下 《假设 Switch1 上 已 配置 了 去 往 1.1.3.0/24 网 
段 的 路 由 ，Switch2 上 已 配置 了 去 往 1.1.1.0/24 网 段 的 路 由 ) 。 

(1) 主机 A 将 主机 C 的 JP 地址 (1.1.3.2〉 和 自己 所 在 网 段 1.1.1.0/24 进 行 比较 ， 发 现 主机 C 和 自己 不 在 同 
一 个 子 网 。 于 是 主机 A 发 送 一 个 ARP 请 求 给 自己 的 网 关 《〈 位 于 Switch1 上 的 Super-VLAN 4 接口 ) ， 请 求 网 关 
的 MAC 地 址 。 



























































































































































(2) Switch1 在 收 到 该 ARP 请 求 后 ， 查 找 Sub-VLAN 和 Super-VLAN 的 对 应 关系 ， 从 Sub-VLAN 2 发 送 
ARP 应 答 给 主机 A。ARP 应 答 数据 帧 中 的 源 MAC 地 址 为 Super-VLAN 4 对 应 的 VLANIF4 的 MAC 地 址 。 
(3) 主机 A 学 习 到 网 关 的 MAC 地 址 后 向 网 关 发 送 目 的 MAC 地 址 为 Super-VLAN 4 对 应 的 VLANIF4 的 
MAC 地 址 、 目 的 JP 为 1.1.3.2〈( 主 机 C 的 IP 地 址 的 数据 帧 。 
(4) Switch1 在 收 到 该 数据 帧 后 进行 三 层 转发 ， 根 据 在 路 由 表 中 配置 的 路 由 表 项 知道 其 下 一 跳 地 址 为 
1.1.2.2， 出 接口 为 VLANIF10， 把 数据 帧 发 送 给 Switch2。 
(5) Switch2 在 收 到 该 数据 帧 后 再 进行 三 层 转发 ， 通 过 直 连 出 接口 VLANIF20， 把 数据 帧 发 送 给 主机 















































































































































(6) 主机 C 在 收 到 数据 帧 后 向 其 网 关 《〈 位 于 Switch2 上 的 VLANIF20 接 口 ) 发 送 应 答 数据 帧 ， 然 后 经 过 
Switch2 上 进行 三 层 转 发 到 达 Switch1。 

《7) Switch1 在 收 到 来 自主 机 C， 并 由 Switch2 转 发 的 应 答 数 据 帧 后 再 进行 三 层 转 发 ， 通 过 其 网 关 
(VLANIF4 接 口 ) 把 数据 帧 发 送 给 主机 A。 

以 至 完成 Sub-VLAN 与 外 部 网 络 的 三 层 通信 全 过 程 。 





















































7.1.4VLAN 聚 合 配置 思路 





























前 面 介 绍 了 VLAN 聚 合 的 实现 原理 ，Sub-VLAN 间 的 三 层 通信 和 原理， 以 及 Sub-VLAN 与 外 部 网 络 间 的 
二 、 三 层 通信 原理。 本 节 要 介绍 VLAN 聚 合 的 基本 配置 思路 ， 也 即 基 本 配置 任务 。 
从 以 上 的 介绍 可 以 获知 ， 要 实现 VLAN 聚 合 功 能 ， 至 少 需 要 进行 以 下 几 方 面 的 配置 任务 。 
(1) 创建 Spuer-VLAN 和 各 个 Sub-VLAN。 
(2) 把 各 个 Sub-VLAN 中 的 用 户 计 算 机 成 员 均 配置 在 同一 JP 子 网 中 ， 然 后 以 基于 端口 划分 方式 加 入 
对 应 的 Sub-VLAN 中 。 
(3) 为 Spuer-VLAN 创 建 三 层 VLANIF 接 口 ， 并 且 配 置 与 各 Sub-VLAN! 
JP 地 址 。 
(4) 在 Spuer-VLAN 的 三 层 VLANIF 接口 上 使 能 ARP 代理 功能 ， 以 实现 不 同 Sub-VLAN 间 的 三 层 互 































































































































































































j 户 计算 机 在 同一 世子 网 中 的 





An 




































































\ 刀 
他。 





从 以 上 配置 任务 可 以 看 出 ， 都 是 基于 Spuer-VLAN 和 Sub-VLAN 进 行 的 配置 ， 下 面 分 别 介绍 。 但 一 定 要 
注意 ， 必 须 先 创建 、 配 置 各 个 Sub-VLAN， 再 创建 、 配 置 Spuer-VLAN。 















































7.1.5 配置 Sub-VLAN 















































在 VLAN 聚 合 中 ，Sub-VLAN 的 配置 很 简单 ， 仅 需要 创建 对 应 的 Sub-VLAN， 然 后 以 基于 端口 划分 方式 
把 各 用 户 计算 机 所 连接 的 交换 机 端口 加 入 对 应 的 Sub-VLAN 中 。 其 实 就 是 一 个 基于 端口 的 VLAN 划 分 配置 过 
程 。 但 要 注意 ， 各 个 Sub-VLAN 的 所 有 用 户 计 算 机 网 卡 卫 地 址 必须 在 同一 个 IP 子 网 中 。 有 具体 的 配置 步骤 如 表 
7-3 所 示 。 































































































表 7-3 Sub-VLAN 的 配置 步 又 


| 











7.1.6 配置 Super-VLAN 





System-view 
例如 : <HUAWEI> 
System-view 


进入 系统 视图 





interface interface- 

type interface-number 
例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 


键入 要 加 入 某 Sub-VLAN 的 交换 机 端口 ， 进 入 接口 视图 





port link-type access 
例如 : [HUAWEI - 

GigabitEthernet0/0/1] 
port link-type access 


配置 以 上 端口 为 Access 类 型 。 缺 省 为 Hybrid 类 型 ,可 用 undo 
port link-type 命令 恢复 为 缺 省 的 Hybrid 类 型 





quit 
例如 : [HUAWEI - 
GigabitEthernet0/0/1] quit 





返回 系统 视图 





重复 以 上 步骤 ， 把 其 他 要 加 


vlan vlan-id 
例如 : [HUAWEI] vlan 10 


入 到 Sub-VLAN 的 交换 机 端口 转换 成 Access 类 型 

创建 Sub-VLAN, 并 进入 VLAN 视图 。 参 数 的 取 值 范围 是 1 一 
4 094 的 整数 。 缺 省 情况 下 ， 将 所 有 端口 都 加 入 到 一 个 缺 省 
的 VLAN 1 中， 可 用 undo vlan vian-id 删除 指定 VLAN 











Super-VLAN 内 可 以 包括 多 个 Sub-VLAN， 不 能 加 入 任何 物理 端口 ， 但 可 以 名 


port interface-type { interface- 
numberl[ to interface- 
number2 ] }&<1-10> 

例如 : [HUAWEI-VLAN10] 
port GigabitEthermetO/O/lto 
0/0/4 


将 指定 范围 的 交换 机 端口 加 入 以 上 创建 的 Sub-VLAN 中 。 
但 这 里 的 交换 机 端口 范围 中 各 端口 类 型 必须 一 样 , 如 必须 同 
为 干粮 以 太 网 端口 








| 建 三 层 VLANIF 接 口 并 配置 

















JP 地 址 。 另 外 ， 为 了 确保 实现 各 Sub-VLAN 间 的 三 层 通 信 ， 还 需要 在 Super-VLAN 的 VLANIF 接 口上 启用 ARP 


Se 

















代理 功能 。 但 要 注意 : 























步骤 如 表 7-4 所 示 。 








表 7-4 Super-VLAN 配 置 步骤 


System-view 
例如 : <HUAWEI> 
System-view 


进入 系统 视图 








vlan vian-id 
例如 : [HUAWEI] vlan 2 


创建 Super-VLAN， 并 进入 VLAN 视图 。 本 配置 步骤 中 的 
vian-id 与 Sub-VLAN 中 的 vian-id 必须 使 用 不 同 的 VLAN ID 








在 配置 Super-VLAN 之 前 必须 已 完成 上 节 的 Sub-VLAN 配 置 。Super-VLAN 的 具体 配置 


aggregate-vlan 
例如 : [HUAWEI -VLAN2] 
aggregate-vlan 


将 以 上 VLAN 指定 为 Super-VLAN。Super-VLAN 中 不 能 包 
含 任何 物理 端口 ， 且 VLANI1 不 能 配置 为 Super-VLAN 

缺 省 情况 下 ， 没 有 配置 当前 VLAN 为 Super-VLAN， 可 用 
undo aggregate-vlan 命令 恢复 当前 VLAN 为 普通 VLAN 





access-vlan | Vanm-id7 
[to vian-id2 ] } &<1-10> 
例如 : [HUAWEI-vlan2] 
access-vian 20 to 30 


quit 
例如 : [HUAWEI-vlan2] quit 


将 上 节 配 置 好 的 Sub-VLAN 加 入 第 2 步 创建 的 Super-VLAN 
中 。 命 令 中 的 参数 说 明 如 下 。 

(1) vlan-id1 表示 第 一 个 VLAN 的 编号 。 取 值 范围 是 1 一 4 094 
的 叉 数 

(2) to van-id2 表示 最 后 一 个 VLAN 的 编号 ， 取 值 范 围 是 2 一 
4 094 的 整数 ， 且 wan-id2 的 取 值 必须 大 于 vlan-idl 的 取 值 ， 
它 和 vlan-idl 共同 确定 一 个 范围 如果 将 多 个 Sub-VLAN 批 
量 加 入 到 Super-VLAN 中 ， 必 须 保 证 这 些 Sub-VLAN 痢 没 
有 创建 对 应 的 VLANIF 接口 

(3) &<1-10>: 表示 参数 vyJan-id1 [to vian-id2 ] 可 以 输入 1 一 
10 次 ， 但 采用 关键 字 to 输入 的 不 同 VLAN ID 区 间 必 须 没 
有 交叉 

【说 明 】 一 个 VLAN 不 能 同时 加 入 多 个 不 同 的 Super-VLAN 
中 。 不同 的 华为 S 系列 交接 机 所 支持 聚合 的 Sub-VLAN 数 不 
一 样 ， 如 S2700 最 多 支持 16 个 Sub-VLAN 加 入 到 同一 
Super-VLAN 中 ,而 S7700&S9700 最 多 支持 256 个 Sub-VLAN 
加 入 到 同一 Super-VLAN 中 。Super-VLAN 下 Sub-VLAN 过 
多 ,会 存在 ARP 等 广播 复制 性 能 问题 ， 影 响 ARP 学 习 ， 建 
议 每 个 Super-VLAN 下 配置 的 Sub-VLAN 教 不 超过 50 个 

缺 省 情况 下 ，Super-VLAN 中 没有 加 入 任何 Sub-VLAN， 可 
用 undo access-vlan { Vian-idy [ to vian-id2 ] } &<1-10> 命 令 
将 一 个 或 一 组 Sub-VLAN 从 Super-VLAN 中 删除 


退出 VLAN 视图 ， 返 回 系统 视图 





interface vlanif v/an-id 
例如 : [HUAWEI interface 
ylanif 2 


键入 Super-VLAN 的 VLANIF 接口 ， 进 入 接口 视图 





arp-proxy inter-sub-vlan- 
proxy enable 
例如 : [HUAWEI-Vlanif2] 
arp-proxy inter-sub-vlan- 
proxy enable 


ip address ip-address { mask | 
mask-length } [ sub ] 

例如 : [HUAWEI-Vlanif2] ip 
address 10.1.1.2 8 








(可 选 ) 使 能 Sub-VLAN 间 的 ARP 代理 功能 。 如 果 需 要 在 
不 同 的 VLAN 间 的 实现 三 层 互通 , 必须 在 接口 上 使 能 VLAN 
间 的 ARP 代理 功能 

缺 省 情况 下 ， 关 闭 VLAN 间 Proxy ARP 功能 ， 可 用 undo 
arp-proxy inter-sub-vlan-proxy enable 命令 关闭 VLAN 间 
的 ARP 代理 功能 

为 以 上 VLANIF2 接口 配置 主 或 从 IP 地 址 。 命 令 中 的 参数 
说 明 如 下 。 

(1) ip-addess: 指定 VLANIF 接口 的 IP 地址; 

(2) mask: 二 选 一 参数 ， 指 定 以 上 VLANIF 接口 IP 地 址 对 
应 的 子 网 掩 码 ; 

(3) mask-length: 二 选 一 参数 ， 指 定 以 上 VLANIF 接口 IP 
地 址 对 应 的 子 网 掩 码 长 度 

缺 省 情况 下 ,在 VLANIF 接口 上 没有 配置 叫 地 址 ,可 用 umdo 
ip address ip-address { mask | mask-length } [ sub ] 命令 噜 除 
指定 的 了 P 地址 





【示例 】 向 Super-VLAN 2 中 加 入 Sub-VLAN 20 和 Sub-VLAN 30。 


<HUAWEI> System-View 
[HUAWEI] vlan 2 
[HUAWEI-vlan2] aggregate-vlan 
[HUAWEI-vlan2] access-vlan 20 30 


【示例 2】 使 能 VLANIF 接 口上 的 VLAN 间 ARP 代 理 功能 。 


<HUAWEI>system-view 
[HUAWEI]| interface vlanif 10 


[HUAWEI-Vlanif10] arp-proxy inter-sub-vlan-proxy enable 


7.1.7 VLAN 育 合 配 置 示例 








如 图 7-7 所 示 ， 某 公司 拥有 多 个 部 门 且 位 于 同一 JP 子 网 。 为 了 提升 业务 的 安全 性 ， 





站 
Cy 





将 不 同 部 门 的 用 户 


划分 到 不 同 VLAN 中 。 现 由 于 业务 需要 ， 不 同 部 门 〈 如 VLAN 2 和 VLAN 3 为 不 同 部 门 ) 间 的 用 户 需 要 实现 


























Switch 






VLAN 2 : : VLAN3 














VLAN4 
VLANIF4:100.1.1.12/24 


图 7-7 VLAN 聚 合 示例 


























本 示例 的 配置 很 简单 ， 可 以 在 Switch 上 部 署 VLAN 聚 合 ， 同 时 在 Super-VLAN 的 VLANIE 接 口上 启用 ARP 














代理 功能 ， 即 可 在 满足 YLAN 2 和 VLAN 3 二 层 隔离 的 同时 实现 三 层 互通 























中 的 用 户 计 算 机 卫 地 址 配置 在 同 
下 面 是 具体 的 配置 步骤 。 













































































个 全 子 网 之 中 ， 节 省 了 IP 地 址 。 


(1) 转换 连接 Sub-VLAN 2 和 Sub-VLAN 3 上 


的 以 太 网 接口 缺 省 均 为 Hybrid 类 型 。 


<HUAWEI>system-view 




















[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] port link-type access 
[HUAWEI-GigabitEthernet1/0/1] quit 

[HUAWEI] interface gigabitethernet 1/0/2 
[HUAWEI-GigabitEthernet1/0/2] port link-type access 
[HUAWEI-GigabitEthernet1/0/2] quit 

[HUAWEI] interface gigabitethernet 1/0/3 
[HUAWEI-GigabitEthernet1/0/3] port link-type access 
[HUAWEI-GigabitEthernet1/0/3] quit 

[HUAWEI] interface gigabitethernet 1/0/4 
[HUAWEI-GigabitEthernet1/0/4] port link-type access 
[HUAWEI-GigabitEthernet1/0/4] quit 





(2) 创建 Sub-VLAN 2， 并 
[HUAWEI] vlan 2 





向 了 





其 中 加 入 GE1/0/1 和 GE1/0/2 端 





3 


[HUAWEI-vlan2] port gigabitethernet 1/0/1 1/0/2 


[HUAWEI-vlan2] quit 
(3) 创建 Sub-VLAN 3， 并 








向 了 





其 中 加 入 GE1/0/3 和 GE1/0/4 端 























， 而 且 还 满足 了 VLAN 2 和 VLAN 3 





户 的 交换 机 端口 类 型 为 Access 类 型 ， 因 为 华为 S$ 系 列 交 换 机 





[HUAWEI] vlan 3 
[HUAWEI-vlan3] port gigabitethernet1/0/3 1/0/4 
[HUAWEI-vlan3] quit 

(4) 创建 Spuer-VLAN 4， 
[HUAWEI] vlan 4 
[HUAWEI-vlan4] aggregate-vlan 
[HUAWEI-vlan4] access-vlan 2 to 3 
[HUAWEI-vlan4] quit 








并 聚合 VLAN 2 和 VLAN 3。 








(5) 配置 Spuer-VLAN 4 的 VLANIF4 接 
[HUAWEI] interface vlanif4 


口 IP 地 址 ， 








# 启 





可 








jARP 代 理 功 能 。 





[HUAWEI-Vlanif4] ip address 100.1.1.12 255.255.255.0 
[HUAWEI-Vlanif4] arp-proxy inter-sub-vlan-proxy enable 


[HUAWEI-Vlanif4] quit 
配置 完成 后 ，VLAN2 的 用 户 与 YLAN3 的 用 户 可 以 相 
【经 验 之 谈 】 本 示例 仅 是 一 个 最 基本 的 VLAN 

上 VLAN 聚合 也 可 以 实现 跨 交 换 机 的 VLAN 聚合 。 
创建 一 个 Super-VLAN 10， VLANIF10 接 口 








x 
聚合 


如 图 





取 全 



































互 ping 通 。 








I 











示例 ， 医 
7-8 所 示 ， 


为 它 是 在 一 台 三 层 交 换 机 上 实现 的 。 
SwitchA 是 一 台 汇 聚 层 的 三 层 交 换 机 ， 





本 


huil 








EL, 





IP 地 址 为 10.1.1.1/24， 同 时 创建 作为 Sub-VLAN 的 








并 配置 其 
VLAN 2 和 VLAN 3; SwitchB、SwitchC 和 SwitchD 是 三 
创建 了 以 上 对 应 的 VLAN 2、VLAN 3， 且 各 Sub-VLAN 中 





层 接 入 层 交 换 机 ， 可 以 是 二 


层 或 三 层 交 换 机 ， 分 别 
的 用 户 计 算 机 IP 地 址 都 位 于 10.1.1.0/24 的 IP 子 网 

















中 。 在 SwitchB、SwitchC 和 SwitchD 上 把 与 PC 连接 的 端 








口 配置 





为 Access 类 型 ， 把 与 SwitchA 连 接 的 端口 配置 




















为 Trunk 类 型 ， 并 人 允许 
为 Trunk 类 型 ， 也 人 允许 











F 所 连接 的 Sub-VLAN 通 过 。 







同时 创建 作为 Sub-VIAN 
的 VLAN 2 和 VLAN 3 





SwitchB 

















F 所 连接 的 Sub-VLAN 通 过 ; 把 SwitchA 与 SwitchB、SwitchC 和 SwitchD 连 接 的 站 




















山口 配置 





SwitchA 


Super-VLAN 10 
VLANIF10:10.1.1.1/24 





SwitchC SwitchD 





VLAN2 VLAN3 VLAN 2 VLAN3 VLAN2 
图 7-8 跨 交 换 机 的 VLAN 聚 合 示 例 
说 明 
在 VLAN 聚 合 配置 管理 中 ， 除 了 可 以 在 任意 视图 下 使 用 我 们 在 本 书 第 6 章 已 经 介绍 的 display vlan [ vlan- 
































id [ verbose ] ] 命令 查 ep 定 VLAN 的 相关 信息 ， 使 用 display interface vlanif [ vlan-id ] 命令 查看 


























Super-VLAN 的 VLANIF 接 口 
表 项 信息 ， 使 / 


言 息 外 ， 





使 用 





还 可 









































到 





I 





7.2 MUX VLAN 配 置 与 


在 全 
已 








display sub-vlan [ vlan-id ] 命令 查看 Sub-VLAN 类 型 
] display super-vlan [ vlan-id ] 命令 查看 Super-VLAN 类 型 的 YLAN 表 项 信息 。 








I 的 VLAN 



































在 VLAN 的 应 用 过 程 中 经 常 遇 到 这 样 的 需求 : 整个 公司 网 络 的 用 户 都 处 于 一 个 卫 子 网 中 ， 但 又 希望 在 
所 有 员工 都 能 直接 二 层 访问 网 络 中 的 某 关 键 设 备 的 同时 一 部 分 员工 彼此 之 间 二 层 隔 离 。 例 如 ， 在 企业 网 络 
中 ， 企 业 员 工 和 企业 客户 可 以 访问 企业 的 服务 器 ， 但 是 仅 希望 企业 内 部 员工 之 间 可 以 互相 交流 ， 而 企业 客 
户 之 间 是 隔离 的 。 这 时 如 果 仅 仅 考虑 到 普通 VLAN 就 很 难 实现 了 ， 因 为 如 果 企业 规模 很 大 ， 拥 有 大 量 的 用 
户 ， 那 么 就 要 为 不 能 互相 访问 的 用 户 都 分 配 VYLAN〔 特 别 是 在 ISP 中 ) ， 这 不 仅 需要 耗费 大 量 的 VLAN ID， 
还 在 增加 了 网 络 管理 者 的 工作 量 同时 也 增加 了 维护 量 。 通 过 本 节 将 要 介绍 的 MUX VLAN (Multiplex 
VLAN， 复 合 VLAN) 提供 的 二 层 流量 隔离 机 制 就 可 以 实现 以 上 双重 目的 。 

































































































































































7.2.1 MUX VLAN 概 述 








MUX VLAN 提 供 了 一 种 通过 VLAN 进 行 网 络 资 源 访 问 控 制 的 机 制 。 它 与 上 节 介 绍 的 VLAN 聚 合 在 形式 
上 有 些 类 似 ， 也 包括 两 个 层次 的 VLAN， 即 Principal VLAN ( 主 VLAN) 和 Subordinate VLAN (从 
VLAN) ， 但 也 只 是 一 种 关联 关系 ， 不 是 内 层 和 外 层 VLAN 关 系 。 从 VLAN 又 分 为 两 类 ， 即 Separate 
VLAN (隔离 型 从 YLAN) 和 Group VLAN (互通 型 从 VLAN) 。 
本 项 VLAN 特 性 除了 S1700、S2700 系 列 外 的 其 他 所 有 华为 S 系 列 交 换 机 均 支 持 。 
MUX VLAN 具 有 以 下 特性 。 

(1) 主 VLAN 可 以 与 任何 从 VLAN 间 直接 二 层 通 信 。 

(2) 任何 不 同 从 VLAN (包括 隔离 型 从 VLAN 和 互通 型 从 VLAN) 间 都 不 能 直接 二 层 通信 。 

(3) 互通 型 从 VLAN 内 部 的 用 户 间 可 直接 二 层 通信 ， 隔 离 型 从 VLAN 内 部 的 用 户 间 不 能 直接 通信 ， 
起 到 在 同一 个 VLAN 内 实现 各 用 户 相 互 二 层 隔离 的 目的 。 

以 上 这 几 种 不 同类 型 的 MUX VLAN 的 基本 特性 如 表 7-5 所 示 。 































































































































































































表 7-5 MUX VLAN 中 的 不 同 VLAN 类 型 及 基本 特性 


VLAN 类 型 所 属 端口 通信 权限 





Principal VLAN Principal port Principal port 可 以 和 MUX VLAN 内 的 

( 主 VLAN) ( 主 端 口 ) 所 有 端口 直接 进行 二 层 通 信 
Separate port 只 能 和 Principal port 进 行 二 
层 通信 ， 和 其 他 类 型 的 端口 实现 完全 隔 
离 。 这 是 为 了 实现 单个 用 户 间 隔离 的 目 
的 而 推出 的 VLAN 技术 ， 每 个 Separate 
VLAN 必须 绑 定 一 个 Principal VLAN 








Separate VLAN Separate port 
(隔离 型 从 VLAN) |《〈 隔 离 型 从 端口 ) 














Subordinate Group port 可 以 和 Principal port 进行 通 
VLAN 信 ，, 在 同一 互通 型 从 VLAN 内 的 端口 也 
〈 丛 VLAN) 可 相互 进行 二 层 通信 ， 但 不 能 和 其 他 互 
Group VLAN Group port 通 型 从 VLAN 的 端口 或 Separate port 通 


(互通 型 从 VLAN) | (互通 型 从 端口 ) | 信 。 这 是 为 了 实现 不 同 用 户 组 间隔 离 ， 
同一 个 用 户 组 内 部 互通 的 目的 而 推出 的 
VLAN 技术 ， 每 个 Group VLAN 必须 绑 
定 一 个 Principal VLAN 


图 7-9 是 MUX VLAN 的 一 种 典型 应 用 ， 企 业 可 以 用 Principal port 连 接 用 户 需要 共同 访问 的 企业 服务 器 ， 
Separate port 连 接 企业 客户 ，Group port 连 接 企业 员工 。 这 样 就 能 够 实现 企业 客户 、 企 业 员 工 都 能 够 访问 企业 
服务 器 ， 而 企业 员工 内 部 可 以 通信 、 企 业 客 户 间 不 能 通信 、 企 业 客户 和 企业 员工 之 间 不 能 互 访 的 目的 。 






















































































Switch 






Principal RORT 





Separate PORT 





Group Port 


企业 服务 器 


企业 员工 | | 企业 客户 





图 7-9 MUX VLAN 典 型 应 用 示例 








7.2.2 配置 MUX VLAN 








MUX VLAN 的 配置 也 很 简单 ， 基 本 配置 任务 就 是 以 下 两 项 。 
(1) 创建 一 个 主 VLAN， 一 个 或 多 个 隔离 型 从 VLAN 和 互通 型 VLAN; 
(2) 在 加 入 以 上 各 VLAN 的 交换 机 端口 上 使 能 MUX VLAN 功 能 。 
1. 配置 MUX VLAN 中 的 主 VLAN 
MUX VLAN 中 主 VLAN (Principal VLAN) 的 配置 方法 很 简单 ， 有 具体 步骤 如 表 7-6 所 示 。 

























































































表 7-6 主 VLAN 的 配置 步骤 


命令 
System-view 
例如 : < HUAWEI > 进入 系统 视图 
System-view 








vlan vian-id 

例如 : [HUAWEI] vlan 2 
mux-vlan 将 以 上 VLAN 指定 为 MUX VLAN 的 主 VLAN。 缺 省 情况 下 ， 
例 如 : [HUAWEI | 没有 配置 当前 VLAN 为 主 VLAN, 可 用 undo mux-vlan 命令 取 
-VLAN2] mux-vlan 消 当前 VLAN 为 主 VLAN 


创建 主 VLAN， 并 进入 VLAN 视图 











ee 
注意 








当 指定 VLAN ID 已 经 用 于 主 VLAN， 则 该 VLAN 不 能 配置 YLANIEF 接 口 ， 也 不 能 配置 VLAN Mapping、 
VLAN Stacking、Super-VLAN、Sub-VLAN 功 能 。 如 果 某 VLAN 的 类 型 已 配置 为 Super VLAN、Sub VLAN 或 


























从 VLAN， 则 该 VLAN 不 能 配置 为 主 VLAN; 如 果 某 VLAN 上 已 创建 了 VLANIEF 接 口 ， 则 该 VLAN 也 不 能 
































为 主 VLAN。 
【示例 1】 将 VLAN5 配 置 为 MUX VLAN 中 的 主 VLAN。 
<HUAWEI>system-view 
[HUAWEI] vlan 5 


[HUAWEI-vlan5] mux-vlan 
2. 配置 MUX VLAN 中 的 从 VLAN 









































儿 置 


前 面 已 介绍 了 ， 从 VLAN 又 分 为 互通 型 从 VLAN (Group VLAN ) 和 隔离 型 人 VLAN (Separate VLAN) 


两 类 。 但 一 个 MUX VLAN 不 一 定 要 求 同 时 包括 这 两 种 从 YLAN， 且 一 个 主 VLAN 下 只 能 配置 一 个 隔离 型 从 








VLAN ， 却 可 以 最 多 配置 128 个 互通 型 从 VLAN。 





互通 型 从 VLAN 可 实现 同一 VLAN 内 用 户 端 口 间 的 相互 通信 ;隔离 型 从 VLAN 可 隔离 同一 VLAN 内 用 户 
端口 间 的 相互 通信 。 但 同一 MUX VLAN 中 互通 型 从 VLAN 和 隔离 型 从 VLAN 的 VLAN ID 不 能 一 样 。 
从 VLAN 的 配置 方法 也 很 简单 ， 有 具体 如 表 7-7 所 示 。 


















































表 7-7 从 VLAN 的 配置 步骤 





System-view 
例如 : < HUAWEI> 
System-view 


进入 系统 视图 





ylan vian-id 
例如 : [HUAWEI] vlan 2 


创建 各 个 从 VLAN， 并 进入 VLAN 视图 





quit 
例 如 : [HUAWEI 
-VLAN2] 
quit 


返回 系统 视图 





vlan vlan-id 
例如 : [HUAWEI] vlan 5 


进入 主 VLAN 视图 





subordinate group 

{ vlan-idl [to vlan-id2 ] } 
&<1-10> 

例 如 : [HUAWEI 
-VLAN?2] subordinate 
group 23 





把 指定 范围 的 VLAN 配置 为 互通 型 从 VLAN。 缺 省 情况 下 , 没 
有 配置 主 VLAN 下 的 互通 型 从 VLAN,， 可 用 undo subordinate 
group 命令 删除 主 VLAN 下 的 互通 型 人 VLAN 





subordinate separate 
vian-id 

例如 : [HUAWEI-vlan2] 
subordinate separate 4 








将 指定 VLAN 配置 为 隔离 型 从 VLAN。 缺 省 情况 下 , 没有 配置 
VLAN 下 的 隔离 型 从 VLAN, 可 用 undo subordinate separate 
命令 删除 主 VLAN 下 的 隔离 型 从 VLAN 





注意 

当 指 定 VLAN ID 己 经 用 于 互通 型 从 VLAN 或 隔离 型 从 VLAN， 或 者 主 VLAN， 则 该 VLAN 不 能 配置 
VLANIF 接 口 ， 也 不 能 配置 VLAN Mapping、VLAN Stacking、Super-VLAN、Sub-VLAN 功 能 。 如 果 某 
VLAN 的 类 型 已 配置 为 Super VLAN、Sub VLAN 或 从 VLAN， 则 该 VLAN 不 能 配置 为 互通 型 从 VLAN 和 隔离 
型 从 VLAN; 如 果 某 VLAN 上 已 创建 了 VLANIF 接 口 ， 则 该 VLAN 也 不 能 配置 为 互通 型 从 VLAN 和 隔离 型 从 
VLAN。 

【示例 2】 将 VLAN 7 一 10 配 置 为 YLAN 5 的 互通 型 从 VLAN。 

<HUAWEI>system-view 

[HUAWEI] vlan 5 

[HUAWEI-vlan5] subordinate group 7 to 10 

【示例 3】 将 VLAN 6 配置 为 VLAN 5 的 隔离 型 从 VLAN。 

<HUAWEI>system-view 

[HUAWEI] vlan 5 

[HUAWEI-vlan5] subordinate separate6 

3. 使 能 端口 MUX VLAN 功 能 

只 有 使 能 端口 MUX VLAN 功 能 后 ， 才 能 达到 主 VLAN 与 从 VLAN 之 间 通 信 、 互 通 型 从 VLAN 内 的 端 
可 以 相互 通信 和 隔离 型 从 VLAN 端口 间 不 能 相互 通信 的 目的 。 但 要 特别 注意 的 是 ， 在 MUX VLAN 中 的 所 有 
终端 设备 连接 的 交换 机 端口 必须 是 以 Access 类 型 或 Hybrid Untagged 类 型 加 入 的 ， 且 端口 只 能 允许 一 个 
VLAN 通 过 。 如 果 端 口 允许 多 个 VLAN 通 过 ， 那 么 端口 将 无 法 成 功 使 能 MUX VLAN 功 能 。 
在 交换 机 端口 上 使 能 MUX VLAN 功 能 的 配置 很 简单 ， 就 是 在 对 应 的 交换 机 端口 视图 下 执行 port mux- 
vlan enable 命令 〈 注 意 要 在 所 有 MUX VLAN 的 交换 机 端口 上 配置 ) 。 端 口 使 能 MUX VLAN 功 能 后 ， 该 端 
口 不 可 以 再 用 于 VLAN Mapping、VLAN Stacking 配 置 。 
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禁止 端口 MAC 地 址 学 习 功 能 或 限制 ? 
E 在 同一 端口 上 同时 配置 MUX VLAN 和 接 
上 同时 配置 MUX VLAN 和 802.1x 认 证 功能 。 
上 的 MUX VLAN 功 能 。 





以 ， 不 和 

MAC 认 证 功能 ;不 能 
【示例 4】 使 能 GE0/0/1 端 
<HUAWEI>system-view 

















在 同一 端口 

















1 


1 


E 常 使 用 。 所 
上 同时 配置 MUX VLAN 和 


会 影响 MUX VLAN 功 能 的 了 


在 同一 端 


口 MACH 





EN 








址 学 习 数 量 
安全 功能 ; 


























不 能 

















[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port mux-vlan enable 

















， 除 了 可 以 在 任意 视图 下 使 用 本 书 第 6 章 已 经 介绍 的 display vlan [ 














【说 明 】 在 MUX VLAN 配 置 管理 








vlan-id [ verbose ] ] 命令 A 
































定 VLAN 的 相关 信息 ， 使 / 





jdisplay interface vlanif [ vlan-id ] 命令 








查看 Super-VLAN AN 口 信 
可 查 的 MUX VLAN 配 置信 息 包括 主 


百 扎 、 
































7.2.3 MUXVLAN 配 置 示例 








本 示例 拓扑 结构 如 图 7-10 所 示 。 在 某 小 型 企业 网 络 中 ， 要 求 通过 MUX VLAN 
日 希望 企业 内 部 部 分 员工 之 间 可 以 互相 通 


可 以 访问 企业 的 服务 器 (Server) ，1 
离 的 ， 不 能 够 互相 访问 。 





EVLAN ID、 从 VLAN ID、VLAN 的 类 








查看 所 有 MUX VLAN 的 相关 信息 。 
型 、VLAN 包 含 的 交换 机 端口 。 


息 外 ， 还 可 使 用 display mux-vlan 命 令 














功能 实现 企业 所 有 员工 都 
言 ， 而 为 一 部 分 员工 之 间 是 隔 























Switch : 
GEILO1 : 





Server 







: VLAN2 : 
jprinaipel VLAN): 


GE1/0/2 OBI 






GE1/0/ 3 GE 1/0/4 








HostB HostC : : HostD HostE 
:VLAN3(Group VLAN) ; {VLAN4(Separate VLAN): 
图 7-10 MUX VLAN 配 置 示例 拓扑 结构 





为 MUX VLAN 的 配置 思 
配置 步骤 。 

(1) 创建 各 个 MUX VLAN， 即 
<HUAWEI>system-view 
[HUAWEI] vlan batch 2 to 4 

(2) 配置 VLAN 2 为 主 VLAN， 
[HUAWEI] vlan 2 
[HUAWEI-vlan2] mux-vlan 
[HUAWEI-vlan2] subordinate gro 
[HUAWEI-vlan2] subordinate sep 
[HUAWEI-vlan2] quit 














(3) 配置 各 MUX VLAN 中 的 交换 机 端 





路 很 简 昌 





























F 务 中 的 配置 步骤 也 很 简单 ， 所 以 在 此 直接 介绍 本 示例 的 








上 ， 各 配置 











VLAN2、VLAN3 和 VLAN4。 





VLAN 3 为 互通 型 从 VLAN，VLAN 4 为 隔离 型 从 VLAN。 


up 3 


arate4 


口 为 Access 类 型 〈 也 可 以 是 仅 允 许 一 个 VLAN 通 过 的 Untagged 

















Hybrid 类 型 ) ， 加 入 对 应 的 VLAN: 


， 并 使 能 它们 的 MUX VLAN 功 能 。 





[HUAWEI] interface gigabitethernet 1/0/1 


[HUAWEI-GigabitEthernet1/0/1] port link-type access 

[HUAWEI-GigabitEthernet1/0/1] port default vlan 2 

[HUAWEI-GigabitEthernet1/0/1] port mux-vlan enable 

[HUAWEI-GigabitEthernet1/0/1] quit 

[HUAWEI] interfacegigabitethernet 1/0/2 

[HUAWEI-GigabitEthernet1/0/2] port link-type access 

[HUAWEI-GigabitEthernet1/0/2] port default vlan 3 

[HUAWEI-GigabitEthernet1/0/2] port mux-vlan enable 

[HUAWEI-GigabitEthernet1/0/2] quit 

[HUAWEI] interface gigabitethernet 1/0/3 

[HUAWEI-GigabitEthernet1/0/3] port link-type access 

[HUAWEI-GigabitEthernet1/0/3] port default vlan 3 

[HUAWEI-GigabitEthernet1/0/3] port mux-vlan enable 

[HUAWEI-GigabitEthernet1/0/3] quit 

[HUAWEI] interfacegigabitethernet 1/0/4 

[HUAWEI-GigabitEthernet1/0/4] port link-type access 

[HUAWEI-GigabitEthernet1/0/4] port default vlan 4 

[HUAWEI-GigabitEthernet1/0/4] port mux-vlan enable 

[HUAWEI-GigabitEthernet1/0/4] quit 

[HUAWEI] interface gigabitethernet 1/0/5 

[HUAWEI-GigabitEthernet1/0/5] port link-type access 

[HUAWEI-GigabitEthernet1/0/5] port default vlan 4 

[HUAWEI-GigabitEthernet1/0/5] port mux-vlan enable 

[HUAWEI-GigabitEthernet1/0/5] quit 

以 上 配置 完成 后 ， 可 以 通过 简单 的 Ping 操 作 ， 验 证 Server 和 HostB、HostC、HostD、HostE 都 可 以 互相 
ping 通 ;HostB 和 HostC 可 以 互相 ping 通 ，HostD 和 HostE 不 可 以 互相 ping 通 ;HostB、HostC 和 HostD、HostE 不 
可 以 互相 ping 通 。 符 合 在 7.2.1 节 介绍 的 MUX VLAN 主 要 特性 。 
说 明 
本 示例 仅 是 最 简单 的 MUX VLAN 应 用 示例 ， 其 实 MUX VLAN 同 样 可 应 用 于 如 图 7-8 所 示 的 跨 交换 机 的 
VLAN 环 境 中 ， 只 是 需要 注意 在 各 MUX VLAN 中 的 端口 成 员 必须 是 Access 类 型 ， 但 交换 机 之 间 连 接 的 端口 
仍然 是 Trunk 或 者 Hybrid 类 型 的 ， 且 可 以 允许 多 个 VLAN 通 过 。 

































































































































































7.3 Qin 外 





我 们 在 此 之 前 介绍 的 VLAN 都 是 单 层 标签 的 ， 也 就 是 在 数据 帧 中 只 有 一 个 802.1Q 标 签 头 ， 本 节 介 绍 的 
QinQ“《〈 是 802.1Q-in-802.1Q 的 简称 ) 技术 是 一 项 可 在 数据 帧 中 的 原 802.1Q 标 签 头 基础 上 再 增加 一 层 802.1Q 标 
签 头 ， 实 现 双 VLAN 标 签 的 目的 。 但 要 注意 ， 启 用 了 QinQ 功 能 的 交换 机 端口 具有 添加 和 剥离 外 层 VLAN 标 
签 的 双重 功能 ， 即 上 行 传输 时 对 帧 添加 外 层 标 签 ， 而 下 行 传输 时 又 可 以 剥离 帧 中 的 外 层 标 签 ， 以 实现 正 
常 的 流量 转发 。 那 么 这 样 的 双 VLAN 标 签 有 什么 意义 呢 ? 这 就 需要 从 QinQ 技 术 产生 的 背景 来 进行 分 析 了 。 



















































































7.3.1 QinQ 技 术 诞 生 的 背景 




















QinQ 最 初 主要 是 为 扩展 VLAN ID 空间 而 产生 的 ， 但 随 着 城 域 以 太 网 的 发 展 以 及 运营 商 精细 化 运作 的 要 

















求 ，QinQ 的 双 层 标签 有 了 进一步 的 使 用 场景 。 它 的 内 、 





























外 层 标 签 可 以 代表 不 同 的 信息 ， 如 内 层 标 签 代表 用 

















户 ， 外 层 标 签 代表 业务 。 另 外 ，QinQ 数 据 帧 带 着 两 层 标签 穿越 运营 商 网 络 ， 内 层 标 签 透 明 传送 ， 也 可 以 看 
作 是 一 种 简单 、 实 用 的 VPN 技 术 。 因 此 ， 它 又 可 以 作为 核心 MPLS VPN 在 城 域 以 太 网 VPN 的 延伸 ， 最 终 形 
成 端 到 端的 VPN 技 术 。 由 于 QinQ 方 便 易 用 的 特点 ， 现 在 已 经 在 各 运营 商 中 得 到 了 广泛 的 应 用 ， 如 QinQ 技 术 
在 城 域 以 太 网 解决 方案 中 和 多 种 业务 相 结 合 。 特 别 是 灵活 QinQ 〈Selective QinQ/VLAN Stacking) 的 出 现 ， 
















































































使 得 QinQ 业 务 更 加 受到 了 运营 商 的 推崇 和 青睐 。 




































































我 们 知道 ， 普 通 VLAN 中 的 一 个 VLAN 标签 是 用 来 区 分 用 户 的 ， 但 如 果 想 要 同时 区 分 用 户 和 业务 类 

































































型 ， 那 么 怎么 办 呢 ? 图 7-11 是 一 个 总 公司 下 面 连接 了 两 个 分 文子 公司 ， 而 各 分 文子 公司 中 已 对 不 同 部 门 的 



































员工 采用 了 VLAN 进 行 区 分 ， 但 两 个 子 公司 的 部 门 VLAN ID 规划 是 重 麦 的 。 这 样 如 果 数 据 帧 中 只 采用 一 层 
VLAN 标 签 ， 总 公司 就 无 法 区 分 数据 是 来 自 哪 个 子 公司 的 也 就 无 法 针对 不 同 子 公司 的 数据 进行 任何 处 理 了 。 


























GE1/0/3 


Switch A 
| GE1/0/1 
| 分 公司 1 


部 门 1 
(VLAN 2) 





部 门 2 
(VLAN 3) 





图 7-11 QinQ 






































asianaasasaasassaaassaasaanauauasauanaaauuam 和 




















型 应 用 示例 











为 了 解决 这 个 问题 ， 可 以 设想 在 总 公司 的 交换 机 上 为 各 子 公司 创建 了 不 同 的 VLAN。 这 样 当 连 接 对 应 子 















































公司 的 总 公司 交换 机 端口 收 到 数据 帧 后 再 在 数据 帧 外 面 添加 一 层 VLAN 标 签 〈 此 时 数据 帧 中 就 有 两 层 VLAN 
标签 了 ， 原 来 的 VLAN 标 签 称 之 为 内 层 VLAN 标 签 ， 新 添加 的 称 之 为 外 层 VLAN 标 签 ; ， 如 果 为 子 公司 1 和 
子 公 司 2 的 数据 帧 分 别 添加 的 外 层 VLAN 标 签 为 VYLAN 10 和 VLAN 20， 就 可 实现 在 总 公司 中 对 来 自 不 同 子 公 
司 的 数据 进行 区 分 了 ， 也 可 以 对 来 自 这 两 个 子 公 司 的 数据 提供 不 同 的 服务 ， 即 差分 服务 了 。 

另外 ， 在 基于 传统 的 802.1Q 协议 的 二 层 局 域 网 互联 模式 中 ， 当 两 个 用 户 网 络 需 要 通过 服务 提供 商 
4ISP) 互相 访问 时 《如 在 城 域 以 太 网 中 ) ，ISP 必须 为 每 个 接 入 用 户 创建 不 同 的 VLAN。 这 种 配置 方法 一 
















































































方面 使 得 用 户 的 VLAN 在 骨干 网 络 上 可 见 ， 存 在 一 定 的 安全 隐患 ， 同 时 因为 一 一 对 应 的 VLAN ID， 也 消耗 












































下 ， 不 同 的 ISP 接 入 用 户 就 不 能 使 用 相同 的 VLAN ID， 





























了 大 量 服务 提供 商 的 VLAN ID 资源 。 这 对 较 大 的 ISP 来 说 是 无 法 承受 的 ， 因 为 只 有 4 094 个 VLAN ID 可 
用 ) ， 当 接 入 的 用 户 数 目 很 多 时 可 能 使 ISP 网 络 的 VLAN ID 不 够 用 。 另 外 ， 采 用 这 种 普通 VLAN 部 署 方式 

































































否则 就 无 法 实现 不 同 接 入 用 户 间 的 隔离 ， 这 时 用 户 的 











VLAN ID 只 能 由 ISP 统 一 规划 ， 导 致 用 户 没有 自己 规划 VLAN 的 权利 。 

通过 QinQ 技 术 可 以 有 效 地 解决 以 上 问题 ， 因 为 它 可 以 为 许多 不 同 内 层 VLAN 标 签 用 户 使 用 同一 个 外 层 
VLAN 标 签 进行 封装 ， 解 决 了 ISP 的 VLAN ID 资源 不 足 的 问题 。 另 外 ， 通 过 外 层 VLAN 标 签 对 内 层 VLAN 标 
签 的 屏蔽 作用 ， 使 用 户 自己 的 内 层 VLAN ID 部 署 可 以 由 用 户 自己 作 主 ， 而 不 必 由 ISP 来 统一 部 署 。 

























































































网 VLAN 可 以 作为 数据 来 传输 ， 女 














这 个 双 层 VLAN 标签 可 以 当 作 单 层 VLAN 标签 使 用 ， 即 仅 使 用 新 添加 的 外 层 公 网 YLAN 标 签 ， 内 层 私 
[在 本 章 后 面 将 要 介绍 的 2 to 1 的 VLAN 了 映射 中 ， 当 然 也 可 以 作为 双 层 


VLAN 标 签 来 使 用 (如 在 本 章 后 面 将 要 介绍 的 2to2 的 VLAN 映 射 中 ) ， 整 个 数据 帧 中 的 VLAN 标 签 由 内 、 





外 双 











慨 VLAN 标 签 共同 坟 








来 达到 扩展 VLAN 空 间 的 






























































定 ， 这 样 一 来 ， 就 相当 于 可 以 使 用 的 VLAN ID 数量 达到 了 4 094x4 094 个 了 ， 以 此 
目的 。 通 过 这 样 的 双 层 VLAN 标 签 封 装 ， 可 以 使 私 网 VLAN ID 在 公 网 上 透 传 ， 既 解 
决 了 用 户 VLAN ID 的 安全 性 问题 和 由 用 户 自己 规划 私 网 VLAN ID 的 需求 问题 ， 又 解决 了 ISP 的 VLAN ID 空 


























间 不 足 的 问题 。 因 为 在 ISP 中 可 以 为 需要 














络 的 不 同 VLAN 提 供 一 个 VLAN ID。 








7.3.2 QinQ 封 装 和 终结 


QinQ 是 在 传统 802.1Q VLAN 标 签 头 基础 上 
可 知 ，QinQ 帧 比 传统 的 802.1Q 帧 多 了 4 个 字 节 ， 























目 互 访问 的 用 户 配置 相同 的 外 层 VLAN， 也 只 需 为 来 自 同一 用 户 网 





























传统 802.1Q 帧 封装 格式 : 








再 增加 一 层 新 的 802.1Q VLAN 标 签 头 ， 如 图 7-12 所 示 。 由 此 
即 新 增 的 802.1Q VLAN 标 签 。 








46~1500 4 bytes 





6 6 4 2 


目的 MAC 地 址 | 源 MAC 地 址 | 802.1Q 标 签 次 启 / 


数据 FCS 





QinQ 帧 封装 格式 : 下 
6 6 六 一 


46~1500 4 bytes 








目的 MAC 地 址 


源 MAC 地 址 








2 
one | oe | 媒 /| 数据 


FCS 











QinQ 帧 封装 的 过 程 就 是 把 和 


新 增 VLAN 标 签 


图 7-12 传统 802.1Q 帧 和 QinQ 帧 格式 比较 





























活 QinQ” 两 种 类 型 。 具 





1. 基本 QinQ 封 装 
“基本 QinQ 封 装 ? 是 将 进入 一 个 端口 的 所 有 流量 全 部 封装 一 个 相同 的 外 层 VLAN 标 签 ， 是 一 种 基于 端口 








生 在 城 域 网 侧 连 接 用 户 





各 层 802.1Q 标 签 的 数据 帧 转换 成 双 层 802.1Q 标 签 的 数据 帧 。 封 装 过 程 主 要 发 








的 交换 机 端口 上 。 根 据 不 同 的 VLAN 标 签 封装 依据 ，QinQ 可 以 分 为 “基本 QinQ” 和 “ 灵 











本 说 明 如 下 。 
































的 QinQ 封 装 方 式 ， 也 称 "QinQ 二 层 隧道 "。 开 局 端口 的 基本 QinQ 功 能 后 ， 当 该 端口 接收 到 已 经 带 有 VLAN 标 








签 的 数据 帧 时 ， 则 该 数据 帧 衣 
帧 将 封装 成 为 带 有 端口 缺 省 VLAN 的 一 层 标签 的 帧 。 
上 ， 基 本 QinQ 的 VLAN 标 签 封 装 不 够 灵活 ， 很 难 有 效 地 区 分 不 同 的 用 户 业 务 ， 因 为 























从 以 上 介绍 可 以 看 





























将 封装 成 双 层 标签 的 帧 ， 如 果 接 收 到 的 是 不 带 VYLAN 标 签 的 数据 帧 ， 则 该 数据 
























































它 对 进入 同一 个 交换 机 端口 的 所 有 数据 帧 都 封装 相同 的 外 层 VLAN 标 签 。 但 在 需要 较 多 的 VLAN 时 ， 可 以 使 




















外 层 VLAN 标 签 。 





























用 这 个 基本 QinQ 功 能 ， 这 样 可 以 减少 对 VLAN ID 的 需求 ， 因 为 进入 同一 个 端口 的 所 有 数据 帧 都 封装 同一 个 





























如 图 7-13 所 示 的 网 络 中 ， 企 业 部 门 1 (Department1) 有 两 个 办 公 地 ， 部 门 2 (Department2) 有 三 个 办 公 


地 ， 两 个 部 门 的 各 办 公 地 分 别 和 网 络 ! 
































的 PE1、PE2 相 连 ， 部 门 1 和 部 门 2 可 以 任意 规划 自己 的 VLAN。 这 

















样 ， 可 在 PE1 和 PE2 上 通过 如 下 思路 配置 QinQ 二 层 隧道 功能 ， 使 得 每 个 部 门 的 各 个 办 公 地 网 络 可 以 互通 ， 但 
两 个 部 门 之 间 不 能 互通 。 
(1) 在 PE1 上 ， 对 于 进入 端口 Portl1 和 Port2 的 用 户 (都 属于 部 门 1) 数据 帧 都 封装 外 层 VLAN 10， 对 于 







































































进入 端口 Port3 中 的 用 户 (属于 


了 门 2) 数据 帧 都 封装 外 


Hk 








屋 VLAN 20。 














(2) 在 PE2 上 ， 对 于 进入 端口 Port1 和 Port2 的 用 户 “〈 都 属于 部 门 2) 数据 帧 都 封装 外 层 VLAN 20。 
(3) PE1 上 的 端口 Portd 和 PE2 上 的 端口 Port3 允 许 VLAN 20 的 用 户 数据 帧 通过 ， 以 便 实现 连接 在 PE1 的 
Port3 上 部 门 2 的 用 户 与 连接 在 PE2 的 PortL 和 Port2 上 部 门 2 的 用 户 互 通 。 
这 种 基本 QinQ 封装 就 相当 于 用 一 个 外 层 的 VLAN 标签 映射 同类 用 户 的 多 个 内 层 VLAN 标 签 ， 以 减少 
ISP 端 设备 VLAN ID 的 使 用 量 。 






















































































Department 2 


Department 2 





Department 1 Department 2 Department 1 



































图 7-13 基本 QinQ 典 型 应 用 示例 








2. 灵活 QinQ 封 装 
“灵活 QinQ” 是 对 QinQ 的 一 种 更 灵活 的 实现 ， 是 基于 端口 封装 与 基于 VLAN 封 装 的 结合 方式 。 除 了 能 实 
现 所 有 基本 QinQ 的 功能 外 ， 灵 活 QinQ 对 于 同一 个 端口 接收 的 数据 帧 还 可 以 根据 不 同 的 内 层 VLAN 标 签 执行 
不 同 的 外 层 标签 封装 。 它 又 可 分 为 以 下 3 个 子 类 。 
(1) 基于 VLAN ID 的 灵活 QinQ: 它 是 基于 数据 帧 中 不 同 的 内 层 标 签 的 VLAN ID 来 添加 不 同 的 外 层 标 
签 。 即 具有 相同 内 层 标 签 的 帧 添加 相同 的 外 层 VLAN 标 签 ， 具 有 不 同 内 层 标签 的 帧 添加 不 同 的 外 层 VLAN 
标签 。 这 就 要 求 不 同 用 户 的 内 层 VLAN ID 或 VLAN ID 范围 绝对 不 能 重 县 或 交叉 。 华 为 $ 系 列 交换 机 中 的 
S2700、S3700、S5700、S6700 仅 支持 基于 VLAN ID 的 灵活 QinQ 功 能 。 
(2) 基于 802.1p 优 先 级 的 灵活 QinQ: 它 是 基于 数据 帧 中 不 同 的 内 层 标 签 的 802.1p 优 先 级 来 添加 不 同 的 
外 层 标 签 。 即 具有 相同 内 层 VLAN 802.1p 优 先 级 的 帧 添加 相同 的 外 层 标签 ， 具有 不 同 内 层 VLAN 802.1p 优 先 
级 的 帧 添加 不 同 的 外 层 标签 。 这 就 要 求 不 同 用 户 的 内 层 VLAN 的 802.1p 优 先 级 或 802.1p 优 先 级 范围 绝对 不 
能 重 闭 或 交叉 。 基 于 802.1p 优 先 级 的 灵活 QinQ 在 华为 S 系 列 交 换 机 中 仅 S7700、S9300 和 S9700 系 列 支 持 。 
(3) 基于 流 策略 的 灵活 QinQ: 它 是 根据 所 定义 的 QoS 策略 为 不 同 的 数据 帧 添加 不 同 的 外 层 标 签 。 基 于 
流 策 略 的 灵活 QinQ 是 基于 端口 与 YLAN 相 结合 的 方式 实现 的 ， 能 够 针对 业务 类 型 提供 差别 服务 。 基 于 流 策 
略 的 灵活 QinQ 在 华为 $ 系 列 交换 机 中 仅 S7700、S9300 和 S9700 系 列 支 持 。 
以 上 三 种 灵活 QinQ 的 配置 方法 将 在 本 章 后 面具 体 介 绍 。 














































































































































































































































































































当 同 一 用 户 的 不 同业 务 需 要 使 用 不 同 的 VLAN ID 时 ， 可 以 根据 YLAN ID 区 间 进 行 分 流 。 现 假设 PC 上 网 
的 VLAN ID 范围 是 101 一 200; IPTV 的 VLAN ID 范围 是 201 一 300; 大 客户 的 VLAN ID 范围 是 301 一 400。 面 
j 户 的 端口 在 收 到 用 户 数据 后 根据 用 户 VLAN ID 范围 ， 对 PC 上 网 业务 封装 上 外 层 标签 100， 对 IPTV 封 装 | 

































































外 层 标签 300， 对 大 客户 封装 上 外 层 标 签 500。 
说 明 
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QinQ 封 装 一 般 在 交换 式 端 口上 进行 ,但 也 可 以 在 路 由 子 接口 上 进行 (QinQ 终 结 只 能 在 路 由 子 接口 上 进 
行 ) 。 此 种 方法 可 以 通过 一 个 子 接口 来 透 传 多 个 标识 用 户 的 VLAN ID， 这 种 子 接口 也 叫 QinQ Stacking 子 接 
























































义 ， 不 支持 三 层 转 发 功能 。 





























口 。 这 种 封装 方式 也 是 基于 流 的 QinQ 封 装 方式 ， 但 QinQ Stacking 子 接口 只 能 和 L2VPN 业 务 结合 起 来 才 有 意 


在 如 图 7-14 所 示 的 网 络 中 ， 企 业 的 部 门 1 有 多 个 办 公 地 ， 部 门 2 也 有 多 个 办 公 地 。 部 门 1 的 网 络 中 使 用 


VLAN 2~VLAN 500; 部 门 2 的 网 络 中 使 用 VLAN 500~VLAN 4094。PE1 的 Port1 端 口 会 同时 收 到 两 个 部 门 














不 同 VLAN 区 间 的 用 户 数据 帧 。 























此 时 可 根据 图 中 标识 的 各 办 公 地 的 用 户 VLAN ID 范围 在 PE1 和 PE2 上 通过 如 下 思路 配置 基于 VLAN 的 灵 


















































活 QinQ 功 能 ， 使 得 每 个 部 门 的 各 个 办 公 地 网 络 之 间 可 以 互通 ， 但 两 个 部 门 之 间 不 能 互通 。 











下 。 
(1) 对 于 进入 PE1 的 Port1 端 口 的 用 户 数据 帧 ， 依 据 其 YLAN ID 的 不 同 添 加 对 应 的 外 




















具体 配置 思路 如 








民 VLAN 标 签 。 如 


VLAN ID 在 2 一 500 之 间 ， 则 封装 VLAN ID 为 10 的 外 层 标签 : 如 VLAN ID 在 1000 一 2 000 之 间 ， 则 封装 


VLAN ID 为 20 的 外 层 标签 。 
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图 7-14 灵活 QinQ 典 型 应 用 示例 
































(2) 对 于 进入 PE1 的 Port2 端 口 的 用 户 数 据 帧 ， 如 果 VLAN ID 在 100 一 500 之 间 ， 则 封装 VLAN ID 为 10 








的 外 层 标签 。 


(3) 对 于 进入 PE2 的 Port1 端 口 的 用 户 数据 帧 ， 如 VLAN ID 在 1 000 一 4 094 之 间 ， 则 封装 VLAN ID 为 20 
的 外 层 标 签 。 
(4) 对 于 进入 PE2 的 Port2 端 口 的 用 户 数据 帧 ， 如 果 VLAN ID 在 500 一 2 500 之 间 ， 则 封装 VLAN ID 为 20 
的 外 层 标 签 。 
(5) 在 PE1 和 了 PE2 的 Port3 端 口上 允许 VLAN 20 的 帧 通过 ， 以 便 实现 连接 在 PE1 的 Port1 端 口 下 连接 的 
部 门 2 用 户 与 连接 在 PE2 的 PortL 和 Port2 的 部 门 2 的 用 户 互 通 。 
从 以 上 可 以 看 出 ， 灵 活 QinQ 比 基本 QinQ 的 外 层 标 签 封 装 更 加 灵活 ， 可 以 根据 用 户 数据 帧 中 原来 的 
VLAN ID 范围 来 确定 封装 不 同 的 外 层 标 签 ， 这 样 更 方便 了 对 相同 网 络 中 不 同业 务 的 用 户 数据 流 提供 差分 服 
务 。 
3. QinQ/Dot1q 终 结子 接口 
QinQ/Dotld 终结 是 指 设备 对 数据 帧 的 双 层 或 者 单 层 VLAN 标签 进行 识别 ， 根 据 后 续 的 转发 行为 对 帧 中 
的 双 层 或 者 单 层 VLAN 标签 进行 剥离 ， 然 后 继续 传送 。 也 就 是 这 些 VLAN 标签 仅 在 此 之 前 生效 ， 后 面 的 数 
据 传输 和 处 理 不 再 依据 帧 中 的 这 些 VLAN 标 签 。 
终结 一 般 在 路 由 子 接口 上 执行 ， 即 终结 子 接口 ， 如 我 们 在 单 臂 路 由 中 就 要 配置 路 由 子 接口 的 802.1Q 的 
VLAN 终 结 。 如 果 路 由 子 接口 是 对 数据 帧 的 单 层 VLAN 标 签 终 结 ， 那么 该 子 接口 称 为 Dotlg 终结 子 接口 ; 
如 果 路 由 子 接口 是 对 数据 帧 的 双 层 VLAN 标签 终结 ， 那 么 该 子 接口 称 为 QinQ 终 结子 接口 。QinQ 终 结子 接 
根据 终结 的 用 户 VLAN 标 签 的 类 型 ， 通 常 分 为 两 种 子 接口 。 
(1) 明确 的 QinQ 终 结子 接口 ， 两 层 VLAN 标 签 为 固定 的 值 。 
(2) 模糊 的 QinQ 终 结子 接口 ， 两 层 VLAN 标 签 为 范围 值 ， 即 终结 的 内 、 外 层 标签 都 为 一 个 VLAN ID 范 



















































































































































































































































































































































































围 值 。 


























7.3.3 TPID 的 可 调 值 

















TPID (Tag Protocol Identifier， 标 签 协议 标识 ) 是 图 7-12 所 示 的 VLAN 帧 中 的 802.1Q 标 签 头 中 的 一 个 字 
段 ， 表 示 VLAN 标签 的 协议 类 型 。 该 字段 的 缺 省 值 为 0x8100， 用 来 标识 对 应 帧 是 一 个 带 有 IEEE 802.1Q 标 
签 的 帧 ， 如 图 7-15 所 示 。 但 某 些 厂商 将 设备 可 识别 的 TPDI 字 段 值 设 为 0x9100 或 其 他 值 。 


































































































传统 802.1Q 帧 封装 格式 : 
46~1500 4 bytes 


6 6 4 2 
TPID(2bytes) TCI(2bytes) 
0x8100 优先 级 CFI | VLAN ID 


3bits 1bit 12bits 












图 7-15 VLAN 帧 中 的 TPID 字 段 























802.1Q 标 签 头 位 于 “ 源 MAC 地 址 > 和“ 长度/ 类型”(LengthMType) 字段 之 间 。 通 过 检查 外 层 标 签 中 的 TPID 
字段 值 ， 设 备 可 确定 收 到 的 帧 承载 的 是 运营 商 VLAN 标 签 ， 还 是 用 户 VLAN 标 签 。 设 备 在 接收 到 帧 后 ， 将 设 
备 自身 配置 的 TPID 值 与 帧 中 最 外 层 的 VLAN 标 签 的 TPID 字 段 值 进行 比较 。 如 果 能 与 帧 中 的 TPID 字 段 的 值 匹 
配 ， 则 该 帧 承载 的 是 对 应 的 VLAN 标 签 。 
例如 ， 如 果 帧 中 仅 一 层 标 签 匹 配 的 话 ， 则 肯定 是 用 户 VLAN 标 签 ， 如果 是 双 层 标签 的 QinQ 帧 ， 则 仅 与 
























































































































































数据 帧 中 承载 的 外 


TPID 字 上段 值 为 0x9100， 通 过 比较 可 以 发 现 仅 与 运营 商 VLAN 标 签 r 


帧 仅 承载 了 运营 商 VLAN 标 签 ， 而 把 帧 中 的 用 户 VLAN 标 签 当 成 了 数据 部 分 。 












































新 添加 的 外 层 标签 中 的 TPID 字 段 值 进 行 比较 ， 如 果 
恨 和 内 层 标签 中 的 TPID 字 段 值 分 别 为 0x9100 和 0x8100 的 VLAN 标 签 ， 






























































的 TPID 字 段 值 





























致 则 证 明 帧 中 承载 的 是 运营 商 的 YLAN 标 签 。 如 一 个 


而 在 设备 上 配置 的 





致 ， 所 以 设备 将 认为 该 





另外 ， 不 同 运营 商 的 系统 可 能 将 QinQ 帧 外 层 VLAN 标 签 的 TPID 设 置 为 不 同 值 。 为 实现 与 这 些 系统 的 兼 
容 性 ， 可 以 修改 TPID 值 ， 使 QinQ 帧 发 送 到 公 网 时 承载 与 特定 运营 商 相 同 的 TPID 字段 值 ， 从 而 实现 与 该 运 
营 商 设备 之 间 的 互 操作 性 。 但 因 以 太 网 帧 的 TPID 字 段 与 不 带 VLAN 标 签 的 帧 的 “长 度 / 类 型 请 〈 
LengthType/) 字段 位 置 相同 ， 为 避免 在 网 络 中 转发 和 处 理 数 据 包 时 出 现 问题 ， 
中 各 上 层 协 议 类 型 所 对 应 的 任意 值 。 


7.3.4 QinQ 了 映射 


QinQ Mapping (QinQ 



































表 7-8 网 络 层 协 议 类 型 及 对 应 的 十 六 进 制 值 


















































协议 类 型 对 应 值 
ARP 0x0806 
RARP 0x8035 
IP 0x0800 
IPv6 0x86DD 
PPPoE 0x8863/0x8864 
MPLS Ox8847/0x8848 
IPX/SPX 0x8137 
LACP 0x8809 
802.1x Ox888E 
HGMP 0x88A7 
设备 保留 0xFFFD/OxFFFE/0xFFFF 












































(1) 新 局 域 网 和 老 



























































局 域 网 部 署 的 VLAN ID 六 





来 之 后 ， 从 出 端 

















j 户 侧 上 送 的 数据 帧 进 





FP 突 ， 但 是 新 























映射 ) 与 本 章 后 面 将 要 介绍 的 YLAN 了 映射 类 似 ， 也 是 对 数 
行 替 换 ， 最 根本 的 不 同 就 是 QinQ 映 射 是 在 路 由 子 接 口上 应 
1. QinQ 映 射 基本 原理 
QinQ 了 映射 发 生 在 数据 帧 从 入 端口 接收 进 
在 向 外 发 送 本 地 VLAN 的 | 
时 ， 又 将 帧 中 的 外 部 YLAN 标 签 


不 可 将 TPID 值 设置 为 表 7-8 








居 帧 [! 
的 ， 而 VLAN 映 射 是 在 物理 端口 上 应 用 的 。 























行 映射 操作 。 将 用 户 数据 帧 扒 











的 VLAN 标 签 进 











口 转发 出 去 之 前 。 通 过 QinQ 映 射 功 能 ， 子 接口 
硕 时 ， 将 帧 中 的 本 地 VLAN 标签 蔡 换 成 外 部 VLAN 标 签 ， 在 接收 外 部 VLAN 的 帧 
4 换 成 本 地 VLAN 标 签 。 可 以 看 出 ， 它 的 收 、 发 过 程 中 VLAN 映射 过 程 是 

相 逆 的 。 在 实际 组 网 中 ，QinQ 映 射 功能 可 以 将 用 户 的 VLAN 标签 映射 为 运营 商 的 VLAN 标签 ， 
蔽 不 同 用 户 VLAN 标 签 的 作用 。 
QinQ 映 射 功能 一 般 部 署 在 ISP 网 络 边缘 设备 上 ， 对 | 
带 的 VLAN 标 签 映 射 为 指定 的 VLAN 标 签 后 再 接 入 公 网 。QinQ 映 射 功能 常 应 用 于 但 不 局 限于 以 下 场景 。 








从 而 起 到 屏 

















(2) 接 入 公 网 的 各 个 局 域 网 规划 不 一 至， 导致 VLAN ID 冲 突 。 
(3) 公 网 两 端的 VLAN ID 规 划 不 对 称 。 
2. QinQ 映 射 方式 





目前 ， 设 备 文 








数据 帧 中 携带 的 一 


持 以 下 几 种 映射 方式 。 
(1) 1to 1 的 映射 方式 。 当 部 署 QinQ 映 射 ] 


























在 路 由 子 接 

















上 。 
功能 设备 上 的 子 接口 收 到 带 有 两 层 标签 的 数据 帧 时 ， 将 数据 











局 域 网 需要 与 老 局 域 网 互通 。 

















功能 设备 上 的 子 接口 收 到 带 有 一 层 VLAN 标 签 的 数据 帧 时 ， 将 
层 标签 映射 为 用 户 指 定 的 一 层 标 签 。 发 送 帧 的 过 程 则 相反 。 这 其 实 与 普通 的 VLAN 了 映射 的 
功能 一 样 ， 只 不 过 QinQ 映 射 作 

(2) 2 to 1 的 映射 方式 。 当 部 署 QinQ 映 射 ] 












































帧 中 携带 的 两 层 标签 映射 为 用 户 指定 的 一 层 标签 。 发 送 帧 的 过 程 则 相反 。 














下 面 以 如 图 7-16 所 示 的 PC1 向 P 




















C2 发 送 帧 为 例 进行 介绍 。 具 体 流 程 如 下 。 

















(1) 当 PC1 发 送 的 数据 帧 到 达 启 用 了 QinQ 功 能 的 Device1 后 被 封装 成 双 层 标签 〈 内 层 标 签 为 10， 外 层 标 


签 为 20) 的 VLAN 帧 。 
(2) 当 配 置 了 2 to 1 映射 功能 












































的 Device2 的 GE1/0/1.1 子 接口 接收 到 由 Devicel 发 来 的 QinQ 帧 后 会 把 帧 中 





























原来 的 双 层 标签 映射 成 一 层 标签 50 (这 个 映射 配置 需要 事先 在 Device2 的 GE1/0/1.1 子 接口 上 配置 好 〉 ， 然 后 


通过 Device2 的 GE1/0/2 端 口 向 ISP 网 





(3) 当 Device3 上 的 GE1/0/2 端 口 收 到 Device2 发 来 的 单 层 VLAN 帧 后 ， 在 转发 到 GE1/0/1.1 子 接口 时 再 通 
过 2 to 1 的 QinQ 映 射 功 能 将 帧 中 的 单 层 标签 映射 为 的 双 层 标签 〈 内 层 标签 为 0、 外 层 标签 为 40) 的 VLAN 帧 














络 发 送 数据 帧 并 透 传 。 










































































(这 个 映射 配置 也 需要 事先 在 Device3 的 GE1/0/1.1 子 接口 上 配置 好 ) ， 然 后 通过 该 子 接口 向 Device4 发 送 。 





(4) 当 数 据 到 了 启用 了 QinQ 


ID 为 30) 的 VLAN 帧 ， 然 后 向 PC2 发 送 。 









































功能 的 Device4 后 会 去 掉 帧 中 的 外 层 标 签 ， 形 成 单 层 标签 〈 标 签 VLAN 
































与 PC2 向 PC1 发 送 帧 的 流程 同 到 











EE。 最 终 可 实现 PC1 和 PC2 的 互通 ， 尽 管 它们 原来 所 属 的 VLAN 并 不 相同 ， 











但 通过 同一 个 外 层 VLAN 也 可 实现 互通 。 





VLAN Tag'50 
sa Device2 Device3 a 


GE1/0/1.1 
QinQ Mapping 


GE1/0/2 


Devicel 







ISP 














GE1/0/1.1 


[|p [| 30 | 40 | 





Device4 





172.16.0.1/24 172.16.0.7/24 





图 7-16 QinQ 映 射 应 用 示例 


3. QinQ 映 射 与 YLAN 映 射 的 比较 




















在 本 章 后 面 将 介绍 YLAN 映 射 ， 
9 所 示 。 


















在 VLAN 了 映射 中 也 包括 了 以 上 QinQ 的 两 种 映射 方式 ， 它 们 的 对 比如 表 7- 


表 7-9 QinQ 了 映射 与 YLAN 了 映射 的 比较 




















端口 收 到 带 有 标签 的 | QinQ 映射 动作 发 生 在 子 接 口上 , 主要 用 于 接 入 VPLS (Virtual 
1 入 了 数据 帧 后 , 将 帧 中 的 一 | Private LAN Service， 虚 拟 私有 局 域 网 服务 〉 网 络 ，VLAN 了 映 
层 标签 映射 为 用 户 指 | 射 动 作 发 生 在 干道 物理 端口 上 ， 主 要 用 于 通过 VLAN 转发 的 
定 的 一 层 标签 - 层 网 络 
QinQ 映射 动作 发 生 在 子 接口 上 , 子 接口 收 到 带 有 两 层 标签 
数据 帧 后 ， 将 帧 中 的 两 层 标 签 映射 为 用 户 指定 的 一 层 标签 ， 
入 接口 收 到 的 帧 带 有 | 主要 用 于 接 入 VPLS 网 络 ，VLAN 映射 动作 发 生 在 干道 物理 
两 层 标签 端口 上 ， 当 干道 端口 收 到 带 有 两 层 的 数据 帧 后 ， 将 帧 中 
的 外 层 标签 映射 为 用 户 指定 的 一 层 ， 内 层 标签 作为 用 户 
数据 透 传 ， 主 要 用 于 通过 VLAN 转 - 层 网 络 
















































7.4 基本 QinQ 配 置 与 管理 


























为 了 使 私 网 与 公 网 有 效 分 离 ， 并 最 大 限度 地 节省 VLAN 资 源 ， 可 在 设备 端口 上 部 署 基 本 QinQ 功 能 ， 新 
增 外 层 802.1Q 标 签 。 其 中 内 层 标签 用 于 标识 内 部 网 络 〈 如 企业 网 ) ， 外 层 标 签 用 于 标识 外 部 网 络 〈 如 运营 
商 网 络 ) ， 从 而 最 多 可 以 提供 4 094x4 094 个 VLAN， 并 满足 不 同 私 网 用 户 之 间 相 同 VLAN 可 以 透明 传输 。 






























































7.4.1 配置 基本 QinQ 功 能 








基本 QinQ 功能 是 基于 端口 实现 的 ， 对 于 从 端口 进来 的 所 有 数据 帧 都 加 上 同一 个 公 网 VLAN 标 签 ， 实 现 
j 户 数据 帧 在 公 网 内 转发 。 其 实 可 以 看 成 是 一 种 基于 端口 的 YLAN 划 分 方式 ， 具 体 的 配置 步骤 如 表 7-10 所 


不 。 

































































Sa 








表 7-10 基本 QinQ 功 能 配置 步骤 




































步骤 命令 说 明 
System-view 
1 例 如 : < HUAWEI > | 进入 系统 视图 
system-view 
; vlan vian-id 创建 外 层 VLAN， 并 进入 VLAN 视图 。 参 数 vlan-id 的 取 值 
和 例如 : [HUAWEI] vlan 2 范围 为 1 一 4 094 的 整数 
- | 二 返回 系统 视图 


例如 : [HUAWEI-VLAN2] quit 
interface interface-type 
interface-number 














4 | 例如 [HUAWEI] interface | 键入 要 启用 基本 QinQ 功能 的 交换 机 端口 
gigabitethernet 1/0/1 
配置 以 上 端口 类 型 为 dotlg-tunnel( 即 QinQ 类 型 )。QinQ 
port link-type dotlq-tunnel ”| 类 型 的 端口 用 来 连接 其 他 交换 机 设备 ， 并 且 能 够 处 理 携带 
5 例如 : [HUAWEI- 双 层 标签 的 VLAN 帧 
GigabitEthernet1/0/1]port 缺 省 情况 下 ， 端 口 的 链 路 类 型 为 Hybrid， 改 变 端 口 类 型 前 ， 
link-type dotlq-tunnel 要 恢复 端口 只 加 入 VLAN1 的 缺 省 配置 ， 可 用 undo port 


link-type 命令 恢复 端口 类 型 为 缺 省 的 Hybrid 类 型 

配置 外 层 VLAN 标签 的 VLAN ID ( 即 接口 的 缺 省 VLAN)。 

参数 vlan-id 的 取 值 范围 为 1 一 4 094 的 整数 

人 缺 省 情况 下 , 所 有 端口 的 缺 省 VLANID 为 1, 可 用 undo port default 

vlan 命令 删除 端口 配置 的 缺 省 VLAN, 恢复 为 缺 省 的 VLAN 1 
以 上 这 些 命 令 已 在 第 6 章 6.2 节 介绍 基于 端口 的 VLAN 划 分 中 作 了 详细 介绍 ， 在 此 不 再 袭 述 。 配 置 完 后 可 

过 display current-configuration interface interface-type interface-number 命 令 查看 指定 端口 上 的 QinQ 配 


通 
置 。 














port default vlan vian-id 
例如 : [HUAWEI- 
GigabitEthernetl/0/1]port 
default vlan 5 




































































































7.4.2 配置 外 层 VLAN 标 签 的 TPID 值 









































如 果 需 要 实现 不 同 厂商 的 设备 互通 ， 则 端口 的 QinQ 外 层 YLAN 标 签 的 协议 类 型 标识 “TPID〉 应 配置 为 
和 该 端口 相连 的 设备 能 够 识别 的 协议 类 型 ， 需 要 配置 外 层 VLAN 标 签 的 TPID 值 。 但 本 节 是 可 选 配置 任务 ， 
仅 在 网 络 中 存在 其 他 品牌 设备 时 需要 配置 。 而 且 本 节 介 绍 的 配置 同样 适用 于 后 面 将 要 介绍 的 灵活 QinQ 配 置 
和 QinQ 映 射 配置 。 

配置 外 层 VLAN 标 签 的 TPID 的 方法 很 简单 ， 只 需 在 对 应 的 交换 机 端口 视图 下 使 用 qinq protocol protocol- 
id 命 令 配 置 即 可 。 参 数 protocol-id 用 来 指定 QinQ 外 层 协 议 号 ， 为 4 位 16 进 制 整 数 形式 ， 取 值 范围 是 0x0600 一 
0xFFFF， 缺 省 值 是 0x8100。 

配置 本 命令 后 ， 在 入 方向 是 对 数据 帧 起 到 识别 的 作用 ， 在 出 方向 是 对 数据 帧 中 的 TPID 进 行 修改 或 添 
加 。 但 使 用 本 命令 配置 的 协议 类 型 不 能 与 一 些 特定 的 协议 类 型 编号 相同 ， 否 则 会 导致 接口 不 能 正确 区 分 相 
应 类 型 的 协议 报 文 ， 具 体 参见 表 7-8。 

【示例 】 配 置 GE1/0/1 端 口 的 QinQ 报 文 外 层 VLAN 标 签 的 TPID 值 为 0x9100。 
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<HUAWEI>system-view 


[HUAWEH interface gigabitethernet 1/0/1 


[HUAWEI-GigabitEthernet1/0/1] qing protocol 9100 





7.4.3 配置 对 Untagged 数 据 帧 添加 双 层 VLAN 标 签 














通常 如 果 要 给 数据 帧 打上 双 层 标签 ， 














如 表 7-11 所 示 (本 项 配置 任务 同样 





需要 通 
设备 给 数据 帧 打上 两 层 标签 ， 方 便 了 用 户 配 置 。 也 可 实现 当 二 
或 用 户 添加 双 层 标签 ， 达 到 区 分 业务 或 用 户 的 目 


端口 的 外 层 VLAN 标 签 配 置 。 





过 两 台 设 备 完成 。 配 置 本 节 介 绍 的 功能 后 可 





实现 通过 一 台 





层 端口 收 到 Untagged 数据 帧 后 根据 实际 业务 











的 。 对 Untagged 数 据 帧 添加 双 层 VLAN 标 签 




















适用 于 其 他 QinQ 功 能 配置 ) 。 





表 7-11 对 Untagged 数 据 帧 添加 双 层 VLAN 标 签 的 配置 步 又 
























































































命令 
system-view 
1 例如 : <HUAWEI> 进入 系统 视图 
System-view 
2 vlan vlan-id 创建 外 层 VLAN， 并 进入 VLAN 视图 。 参 数 vlan-id 的 取 值 
例如 : [HUAWEI vlan 2 | 范围 为 1 一 4 094 的 整数 
quit 
3 例如 : [HUAWEI -VLAN2] | 返回 系统 视图 
quit 
interface interface-type 
interface-number ph i Ri su 
入 亚 记 用 其 能 的 六 换 机 站 
例如 : [HUAWEI] interface | 键入 要 月 用 基本 QinQ 功能 的 交换 机 端口 
gigabitethernet 1/0/1 
re 配置 以 上 端口 类 型 为 Hybrid 类 型 ， 缺 省 情况 下 ,端口 的 链 路 
ps! ee 类 型 为 Hybrid， 所 以 也 可 用 undo port link-type 命令 恢复 端 
GigabitEthernet1/0/1] 口 类 型 为 缺 省 的 Hybrid 类 型 
port link-type hybrid ha i 
port hybrid Untagged 把 以 上 端口 以 不 带 标签 方式 添加 到 前 面 创建 的 外 层 VLAN 
vlan vlan-id 中 ， 参 数 wan-id 的 取 值 范 围 为 1 一 4 094 的 整数 
6 例如 : [HUAWEI- 缺 省 情况 下 ，Hybrid 端口 以 Untagged 方式 加 入 VLAN1， 可 
GigabitEthernet1/0/1] port | 用 undo port hybrid Untagged vlan vlan-id 命令 删除 所 加 入 
hybrid Untagged vlan 2 的 外 层 VLAN 
port vlan-stacking Untagged | 对 Untagged 数据 帧 添加 双 层 VLAN 标签 。 命 令 中 的 参数 说 
stack-vlan vian-id! stack- 明 如 下 。 
Flier ian Wen (1) vian-id1: 指定 对 Untagged 数据 帧 所 添加 的 外 层 VLAN 
例如 : [HUAWEI- = 
7 标签 ， 且 必须 与 上 一 步 port hybrid Untagged vlan vian-id 命 
GigabitEthernet1/0/1] port 令 中 的 值 一 至 
vlan-stacking Untagged J vie 汉 A 
ekevians (2) vlan-id2: 指定 对 Untagged 数据 帧 所 添加 的 内 层 VLAN 
stack-inner-vlan 5 标签 ， 取 值 范围 均 为 1 一 4 094 的 整数 
























port vlan-stacking Untagged 
stack-vlan vian-id] stack- 
inner-vlan v/an-id2 

例如 : [HUAWEI- 
GigabitEthernetl/0/1] port 
vlan-stacking Untagged 
stack-vlan 2 
stack-inner-vlan 5 














【说 明 】〗 当 端口 的 PVID 不 是 缺 省 值 VLAN1 时 ， 需 要 恢复 端 
口 的 PVID 为 缺 省 值 后 才 可 以 配置 本 命令 , 目前 只 有 S7700、 
S9300、S9300E 和 S9700 系列 的 上 系列 和 下 系列 单 板 支持 
另外 , 对 Untagged 数据 帧 添加 双 层 VLAN Tag 属于 基于 端口 划 
分 VLAN 方式 ， 同 样 遵守 不 同方 式 划分 VLAN 的 优先 级 顺序 ， 
即 基于 端口 划分 VLAN 的 优先 级 最 低 ， 所 以 要 使 本 命令 配置 生 
效 ， OL sd 其 他 VLAN 划分 方式 
缺 省 情况 下 ， 没 有 配置 对 Untagged 数据 帧 添加 双 层 VLAN 
标签 ， 可 用 人 port vlan-stacking Untagged 命令 恢复 缺 省 
情况 


的 














1L 体 配置 步 又 








( 续 表 ) 





完成 配置 后 可 使 用 display current-configuration interface interface-type interface-number 命 令 查看 指定 














【示例 】 配 置 GE1/0/1 端 











口 对 接收 的 Untagged 报 文 添加 双 层 VLAN 标 签 ， 其 中 内 层 标 签 为 200， 外 层 标 


签 为 100。 
<HUAWEI>system-view 
[HUAWEI]| interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] port hybrid Untagged vlan 100 


[HUAWEI-GigabitEthernet1/0/1] port vlan-stacking Untagged stack-vlan100 stack-inner-vlan200 


7.4.4 基本 QinQ 配 置 示例 








如 图 7-17 所 示 ， 网 络 中 有 两 个 企业 ， 企 业 1 (Enterprise1) 和 企业 2 〈Enterprise2) 各 有 两 个 分 支 。 这 两 


个 企业 的 各 办 公 地 的 企业 网 都 分 别 和 运营 商 网 络 中 的 SwitchA 和 SwitchB 相 连 ， 且 公 网 中 存在 ] 





备 ， 其 外 层 VLAN 标 签 的 TPID 值 为 0x9100。 



































现 要 实现 企业 1 和 企业 2 独立 划分 VLAN， 两 者 互 不 影响 ， 各 企业 两 分 支 机 构 之 间 的 流量 通过 公 网 透明 传 
输 ， 相 同 企业 之 间 可 以 互通 ， 不 同 企业 之 间 互 相隔 离 。 此 时 可 通过 配置 基于 端口 的 基本 QinQ 来 实现 以 上 需 




















求 。 利 用 公 网 提供 的 VLAN 100 使 企业 1 的 两 分 支 机 构 互 通 ， 利 用 公 网 提 
构 互 通 〈 这 里 都 要 同时 用 到 QinQ 的 添加 外 层 标 签 和 剥离 外 层 标 签 的 双 习 






































的 VLAN 200 使 企业 2 的 两 分 支 机 
功能 ) ， 同 时 通过 QinQ 功 能 可 以 


实现 不 同 企业 之 间 的 互相 隔离 ， 因 为 不 同 企业 的 数据 帧 中 所 封装 的 外 层 标 签 不 同 ， 外 层 标 签 对 应 的 VLAN 所 





加 入 的 QinQ 端 口 也 不 同 。 同 时 ， 通 过 在 连接 其 他 广 商 设 备 的 端口 
值 ， 来 实现 与 其 他 厂商 设备 的 互通 。 
1. 配置 思路 分 析 






























































200 的 数据 帧 通过 。 














上 配置 修改 QinQ 外 层 VLAN 标 签 的 TPID 


根据 以 上 分 析 ， 可 采用 如 下 的 思路 进行 本 示例 的 基本 QinQ 配 置 。 

(1) 在 SwitchA 和 SwitchB 上 均 创建 VLAN 100 和 VLAN 200， 配 置 连接 业务 的 GE1/0/1 和 GE1/0/2 端 口 
QinQ 类 型 ， 并 分 别 加 入 对 应 的 外 层 VLAN， 同 时 可 实现 在 发 送 数 据 帧 时 
(2) 配置 SwitchA 和 SwitchB 上 连接 公 网 的 GE1/0/3 端 口 为 Trunk 









































为 


去 掉 帧 中 的 外 层 VLAN 标 签 的 功能 。 
同时 允许 VLAN 100 和 VLAN 


(3) 在 SwitchA 和 SwitchB 连 接 公 网 的 GE1/0/3 端 口上 配置 外 层 VLAN 标 签 的 TPID 值 ， 实 现 与 其 他 厂商 











设备 的 互通 。 









ISP 


VLAN 100,200 
TPID=0x9100 


GE1/0/3, 


Switch A 
GE1/0/1 















Enterprise 1 
VLAN 10 to 50 






Enterprise 2 
VLAN 20 to 60 





GE1/0/2 GE1/0/1 


Enterprise 1 
VLAN 10 to 50 





| 



































2. 具体 配 置 步骤 














7-17 基本 QinQ 配 置 示例 


(1) 在 SwitchA 和 SwitchB 上 均 创 建 公 网 VLAN 100 和 VLAN 200。 











SwitchA 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 100 200 
SwitchB 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname SwitchB 
[SwitchB | vlan batch 100 200 















































(2) 把 SwitchA 和 SwitchB 的 GE1/0/1、GE1/0/2 端 口 








上 配置 为 QinQ 























类 型 ， 并 加 入 对 应 的 公 网 VLAN 





UD 





o 





这 样 就 在 从 端口 上 接收 到 的 数据 帧 上 添加 对 应 的 外 层 VLAN 标签 ， 同 时 允许 对 应 的 外 层 VLAN 通 过 。 


























SwitchA 上 的 配置 : 
[SwitchAj] interface gigabitethernet 1/0/1 














[SwitchA-GigabitEthernet1/0/1] port link-type dot1q-tunnel 


[SwitchA-GigabitEthernet1/0/1] port default vlan 100 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchAj] interfacegigabitethernet 1/0/2 


[SwitchA-GigabitEthernet1/0/2] port link-type dot1q-tunnel 


[SwitchA-GigabitEthernet1/0/2] port default vlan 200 
[SwitchA-GigabitEthernet1/0/2] quit 

SwitchB 上 的 配置 : 
[SwitchB] interface gigabitethernet 1/0/1 























[SwitchB-GigabitEthernet1/0/1] port link-type dot1q-tunnel 


[SwitchB-GigabitEthernet1/0/1] port default vlan 100 
[SwitchB-GigabitEthernet1/0/1] quit 
[SwitchB] interfacegigabitethernet 1/0/2 


[SwitchB-GigabitEthernet1/0/2] port link-type dot1q-tunnel 


[SwitchB-GigabitEthernet1/0/2] port default vlan 200 
[SwitchB-GigabitEthernet1/0/2] quit 








(3) 配置 SwitchA 和 SwitchB 连 接 公 网 侧 的 GE1/0/3 端 口 为 Trunk 类 型 ， 























两 个 公 网 YLAN 通 过 ， 因 为 每 台 交 换 机 都 连接 了 企业 1 和 

数据 帧 进入 。 
SwitchA 上 的 配置 : 
[SwitchAj] interfacegigabitethernet 1/0/3 
[SwitchA-GigabitEthernet1/0/3] port link-type trunk 












































、 





并 人 允许 VLAN 100 和 VLAN 200 这 











企业 2， 也 就 有 对 应 的 两 种 封装 了 不 同 外 层 标签 的 


[SwitchA-GigabitEthernet1/0/3] port trunk allow-pass vlan 100 200 


[SwitchA-GigabitEthernet1/0/3] quit 


SwitchB 上 的 配置 : 
[SwitchB] interfacegigabitethernet 1/0/3 
[SwitchB-GigabitEthernet1/0/3] port link-typ 























e trunk 


[SwitchB-GigabitEthernet1/0/3] port trunk allow-pass vlan 100 200 


[SwitchB-GigabitEthernet1/0/3] guit 


(4) 在 SwitchA 和 SwitchB 的 GE1/0/3 端 口上 均 配 置 外 层 VLAN 标 签 的 TPID 值 为 9100， 以 便 与 其 他 品牌 











设备 兼容 。 
SwitchA 上 的 配置 : 
[SwitchA] interfacegigabitethernet 1/0/3 





























[SwitchA-GigabitEthernet1/0/3] qinq protocol 9100 


SwitchB 上 的 配置 : 
[SwitchB] interface gigabitethernet 1/0/3 
[SwitchB-GigabitEthernet1/0/3] ging protoco 























19100 














完成 以 上 配置 后 ， 因 为 QinQ 帧 在 对 方 启 

















了 QinQ 功 能 上 
1 的 一 处 分 支 机 构 内 的 任意 VLAN 的 一 台 PC 可 以 ping 得 通 
业 2 的 一 处 分 支 机 构 内 的 任意 VLAN 的 一 台 PC 可 
































现 相同 企业 的 相同 VLAN 间 的 用 户 之 间 互 通 。 























VLAN 内 的 PC， 实 现 企业 1 和 企业 2 用 户 之 间 的 相互 隔离 。 























7.5 灵活 QinQ 配 置 与 管理 











灵活 QinQ 是 对 QinQ 的 一 种 更 灵活 的 实现 ， 
一 端口 的 数据 帧 依据 帧 中 原来 的 内 层 VLAN ID 





















































的 端口 后 又 会 剥离 相应 的 外 层 标 签 ， 所 以 从 企业 








企业 1 的 男 一 处 分 支 机 构 的 相同 VLAN 内 的 PC， 从 企 
| 以 ping 得 通 企 业 2 的 男 一 处 分 支 机 构 的 相同 VLAN 内 的 PC， 实 
而 企业 1 中 的 任意 VLAN 中 的 PC 都 不 能 ping 得 通 企 业 2 任意 




















它 是 基于 端口 与 VYLAN 相 结合 的 方式 实现 的 ， 可 以 对 进入 同 























基本 QinQ 一 样 ， 在 发 送 数 据 帧 时 也 会 剥离 帧 ! 
的 区 分 。 

















下 面 根据 7.3.2 节 介绍 的 三 种 不 同 的 灵活 QinQ 封 装 类 型 介绍 不 同 的 灵活 QinQ 配 置 方法 。 























7.5.1 配置 基于 VLAN ID 的 灵活 QinQ 

















基于 VLAN ID 的 灵活 QinQ 功 能 可 实现 端口 














外 层 VLAN 标 签 。 它 与 7.4 节 介绍 的 基于 端口 的 基本 QinQ 不 一 样 



































的 不 同 来 添加 不 同 的 外 层 VLAN 标 签 ， 当 然 它 与 前 面 介绍 的 
的 外 层 VLAN 标 签 。 这 样 就 可 以 实现 对 不 同 用 户 和 不 同业 务 















































在 接收 到 数据 帧 后 ， 依 据 帧 中 不 同 内 层 VLAN ID 添加 不 同 的 














丸 为 不 能 像 7.4.1 节 介绍 的 那样 直接 把 对 应 




















的 交换 机 端口 配置 为 QinQ 类 型 端口 ， 而 是 通 过 一 条 qinq vlan-translation enable 命令 在 端口 上 使 能 VLAN 转 


























换 功 能 。 有 具体 配置 步骤 如 表 7-12 所 示 。 
注意 


配置 基于 VLAN ID 的 灵活 QinQ 功 能 的 端口 















































地 址 是 QinQ 数 据 帧 外 层 VLAN 的 MAC 地 址 ， 与 




















类 型 必须 是 Hybrid 类 型 ， 且 只 在 入 方向 上 生效 ， 同 时 必须 
以 Untagged 方 式 加 入 添加 后 的 外 层 VLAN 中 当然 此 外 层 VLAN 必 须 事先 创建 ) ， 这 样 就 可 使 得 该 端口 在 发 
送 数据 帧 时 去 掉 帧 中 的 外 层 VLAN， 实 现 外 层 标签 的 剥离 目的 。 在 端口 学 习 MAC 地 址 时 ， 所 学 习 到 的 MAC 
数据 帧 原来 的 内 层 VLAN 无 关 。 









































表 7-12 基于 VLAN ID 的 灵活 QinQ 的 配置 步骤 




















命令 








system-view 

















1 例如 : <HUAWEI> 进入 系统 视图 
System-viewW 
vlan vlan-id 创建 外 层 VLAN， 并 进入 VLAN 视图 。 参 数 vlan-id 的 取 值 
例如 : [HUAWEI] vlan 2 范围 为 1 一 4 094 的 整数 
quit 
例如 : [HUAWEI -VLAN2] | 返回 系统 视图 
quit 
Interface interface-type 
interface-number rt 醒 记 田 其 本 人: 全 G2 
4 例如 : [HUAWEI] interface 键入 要 启用 基本 QinQ 功能 的 交换 机 端口 
gigabitethernet 1/0/1 
port link-type hybrid 
5 例如 : [HUAWEI- 配置 以 上 端口 类 型 为 Hybrid 类 型 , 其 他 说 明 参 见 表 7-11 第 


GigabitEthernet1/0/1]port 
link-type hybrid 


5 步 





port hybrid Untagged 
vlan vian-id 

6 例如 : [HUAWEI- 
GigabitEthernet1/0/1]port 
hybrid Untagged vlan 2 


把 以 上 Hybrid 端口 以 Untagged 方式 加 入 到 外 层 VLAN 中 ， 
参数 vlan-id 用 来 指定 前 面 创建 的 外 层 VLAN， 取 值 范围 为 
1 一 4 094 的 整数 





qing vlan-translation enable 
例如 : [HUAWEI- 


使 能 以 上 端口 的 VLAN 转换 功能 。 仅 在 端口 使 能 了 VLAN 
转换 功能 后 才 可 以 在 端口 上 配置 VLAN 映射 和 灵活 QinQ 功 
能 。 但 本 命令 在 S7700、S9300 和 S9700 系列 中 不 支持 ， 也 





GigabitEthernetl/0/1]qinq 就 不 需要 配置 此 命令 
vlan-translation enable 缺 省 情况 下 ,没有 使 能 接口 VLAN 转换 功能 , 可 用 undo qinq 
vlan-translation enable 命令 取消 端口 的 VLAN 转换 功能 
配置 灵活 QinQ， 也 即 VLAN Stacking 功能 。 命令 中 的 参数 
说 明 如 下 。 
port vlan-stacking vlan (1) wan-idl [to vlan-id2 ]: 指定 要 添加 由 参数 vlan-id3 指定 
vian-idl[ to wan-id2 ] 的 外 层 标 签 的 内 层 VLAN ID 范围 ， 其 中 vian-id1 表示 起 始 
Mae pnyion ie VLAN ID; to wan-id2 表示 结束 VLAN ID, 取 值 范围 均 为 1 一 
8 [remark-8021p 8021p-value ] 4 094 的 整数 


例如 : [HUAWEL 
GigabitEthemet1/0/1] port 
vlan-stacking vlan 1 to 4 
Stack-vlan 3 








此 时 要 特别 注意 ， 添 加 不 同 外 层 VLAN 的 内 层 VLAN ID 范 
围 绝对 不 能 重合 ,或 者 交叉 ， 否 则 就 会 使 端口 无 法 正确 添加 
外 层 VLAN 标签 

(2) vlan-id3: 指定 添加 的 外 层 标签 对 应 的 VLAN ID， 取 值 
范围 为 1 一 4 094 的 整数 






























































( 续 表 ) 
命令 说 明 
(3) 8021p-value: 可 选 参数 ， 重 新 标记 添加 外 层 标 签 后 帧 的 
port vlan-stacking vlan | 802.1p 优先 级 ， 取 值 范围 为 0~7， 值 越 大 优先 级 越 高 。 缺 省 
vlan-id1[ to vlan-id2 ] 情况 下 ,对 于 S7700、S9300、S9300E 和 S9700 系列 中 的 SA 
stack-vlan vian-id3 单 板 的 外 层 VLAN 优先 级 为 0, 其 他 单 板 的 外 层 VLAN 优先 
8 [remark-8021p 8021p-value ] | 级 与 内 层 VLAN 优先 级 保持 一 致 ， 对 于 其 他 情况 下 ， 外 层 
例如 : [HUAWEI- VLAN 的 802.1p 优先 级 与 内 层 VLAN 的 802.1p 优先 级 保持 
GigabitEthernet1/0/1] port - 致 
Jamstacking Vian 1 to 4 | 缺 省 情况 下 , 没有 配置 VLAN Stacking 功能 , 可 用 undo port 
Hackvian vlan-stacking vlan vian-idl [ to vian-id2 ] [ stack-vlan 
中 vian-id3 ] 命令 取消 对 应 的 VLAN Stacking 功能 
配置 完成 后 ， 使 用 display current-configuration interface interface-type interface-number 命 令 查 看 端口 的 
piay yp 
灵活 QinQ 配 置 。 
【示例 】 配 置 GE0/0/1 端 口 的 灵活 QinQ 功 能 ， 对 用 户 VLAN 标 签 为 VYLAN 10~~VLAN 13 的 数据 帧 添加 外 























层 VLAN 标 签 100。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] qing vlan-translation enable 
[HUAWEI-GigabitEthernet0/0/1] port hybrid Untagged vlan 100 
[HUAWEI-GigabitEthernet0/0/1] port vlan-stacking vlan 10 to 13 stack-vlan 100 








7.5.2 基于 VLAN ID 的 灵活 QinQ 配 置 示例 



































本 示例 拓扑 结构 如 图 7-18 所 示 ，PC 上 网 用 户 〈 假 设 用 户 VLAN ID 范围 为 100 一 200) 和 VoIP 用 户 (假设 
日 户 VLAN ID 范围 为 300~400) 通过 SwitchA 和 SwitchB 接 入 ， 并 分 别 以 WLAN 2 和 VLAN 3 通过 运营 商 网 络 
(Carrier Network) 。 现 要 求 PC 上 网 用 户 和 VoIP 用 户 通过 运营 商 网 络 实 现 互 相通 信 。 
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SwitchA SwitchB 





GE1/0/2 Carrier GE1/0/2 


Network 


GE1/0/1 GE1/0/1 























图 7-18 基于 VLAN ID 的 灵活 QinQ 配 置 示例 的 拓扑 结构 





























1. 配置 思路 分 析 
本 示例 的 基本 配置 思路 很 简单 ， 具 体 如 下 。 

(1) 在 SwitchA 和 SwitchB 上 创建 所 需 的 外 层 VLAN 2 和 VLAN 3( 用 户 的 内 层 VLAN 可 不 创建 )， 并 将 
GE1/0/1 端 口 配置 为 Untagged 方 式 的 Hybrid 类 型 端口 ， 然 后 都 加 入 外 层 VLAN 2 和 VLAN 3 中 。 

(2) 在 SwitchA 和 SwitchB 的 GE1/04 端 口上 配置 灵活 QinQ 功 能 ， 以 实现 在 接收 数据 帧 时 依据 其 内 层 
VLAN 标 签 添 加 对 应 的 外 层 VLAN 标 签 ， 在 发 送 QinQ 帧 时 去 掉 对 应 的 外 层 VLAN 标 签 ， 以 实现 正常 的 流量 转 
发 。 

2. 具体 配置 步 又 

(1) 在 SwitchA 和 SwitchB 上 创建 外 层 VLAN 2 和 VLAN 3， 因 为 这 两 台 交 换 机 都 同时 连接 了 PC 上 网 用 户 

和 VoIP 用 户 。 
SwitchA 上 的 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 2 3 
SwitchB 上 的 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] vlan batch 2 3 

(2) 在 SwitchA 和 SwitchB 上 行 连接 运营 商 网 络 的 Untagged 方 式 Hybrid 类 型 GE1/0/1 端 口上 配置 基于 
VLAN ID 的 灵活 QinQ 功 能 ， 添 加 双 层 VLAN 标 签 。 但 要 注意 ， 不 同 用 户 的 内 层 VLAN ID 绝对 不 能 重合 和 交 
又 。 




































































































































































SwitchA 上 的 配置 : 
[SwitchAj] interface gigabitethernet 1/0/1 





[SwitchA-GigabitEthernet1/0/1] port link-type hybrid 


[SwitchA-GigabitEthernet1/0/1] port hybrid Untagged vlan 2 3 


VLAN 2 和 VLAN 3 





列 ， 则 不 需要 配置 此 命令 ， 下 同 


VLAN 标 签 为 2 








VLAN 标 签 为 3 

















!--- 指 定 GE1/0/1 端 口 以 不 带 标签 方式 加 入 








[SwitchA-GigabitEthernet1/0/1] quit 





SwitchB 上 的 配置 : 




















[SwitchB] interface gigabitethernet 1/0/1 
[SwitchB-GigabitEthernet1/0/1] port link-type hybrid 
[SwitchB-GigabitEthernet1/0/1] port hybrid Untagged vlan 2 3 


[SwitchB-GigabitEthernet1/0/1] qinq vlan-translation enable 
[SwitchB-GigabitEthernet1/0/1] port vlan-stacking vlan 100 to 200 stack-vlan 2 
[SwitchB-GigabitEthernet1/0/1] port vlan-stacking vlan 300 to 400 stack-vlan 3 
[SwitchB-GigabitEthernet1/0/1] guit 

(3) 配置 SwitchA 和 SwitchB 连 接 运 营 商 网 络 的 上 行 GE1/0/2 端 口 为 Trank 类 型 






































和 VLAN 3 中 。 
SwitchA 上 的 配置 : 
































[SwitchAj] interfacegigabitethernet1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type trunk 
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 3 
[SwitchA-GigabitEthernet1/0/2] quit 








SwitchB 上 的 配置 : 

















[SwitchB] interface gigabitethernet 1/0/2 
[SwitchB-GigabitEthernet1/0/2] port link-type trunk 
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 3 
[SwitchB-GigabitEthernet1/0/2] quit 


























最 后 来 验证 以 上 配置 结果 ， 本 














GE1/0/2 端 口上 的 配置 信息 ， 看 是 











不 
昭 














通过 display current-configuration interface 





i 正确 。 具 体 如 下 。 


<SwitchA>display current-configuration interfacegigabitethernet1/0/1 


其 
interface GigabitEthernet1/0/1 
port hybrid Untagged vlan 2 to 


ding vlan-translation enable 


3 


port vlan-stacking vlan 100 to 200 stack-vlan 2 


port vlan-stacking vlan 300 to 400 stack-vlan 3 


# 


[SwitchA-GigabitEthernet1/0/1] port vlan-stacking vlan 100 to 200 stack-vlan 2 


[SwitchA-GigabitEthernet1/0/1] port vlan-stacking vlan 300 to 400 stack-vlan 3 


人 
命令 


[SwitchA-GigabitEthermmet1/0/1] qinq vlan-translation enable “1!--- 如 果 交 换 机 是 S7700、S9300 或 S9700 系 




















!--- 为 PC 上 网 用 户 添 加 外 层 





!--- 为 VoIP 网 用 户 添加 外 层 





型 ， 并 同时 加 入 外 层 VLAN 2 





查看 SwitchA 上 GE1/0/1 和 








return 

<SwitchA>display current-configuration interfacegigabitethernet1/0/2 

# 

interface GigabitEthernet1/0/2 

port link-type trunk 

port trunk allow-pass vlan 2 to 3 

# 

retumn 

可 以 用 同样 的 方法 查看 SwitchB 上 的 GE1/0/1 和 GE1/0/2 端 口上 的 配置 信息 ， 以 验证 配置 是 否 正 确 。 如 果 
SwitchA、SwitchB 上 配置 正确 ， 则 可 实现 PC 上 网 用 户 通过 运营 商 网 络 互 相通 信 ，VolP 用 户 也 可 以 通过 运营 
商 网 络 互 相通 信 。 


















































7.5.3 配置 基于 802.1p 优 先 级 的 灵活 QinQ 












































基于 802.1p 优 先 级 〈 也 就 是 通常 所 说 的 VLAN 优 先 级 ) 的 灵活 QinQ 功 能 可 以 根据 进入 端口 的 数据 帧 的 
802.1p 优 先 级 和 VLAN ID 灵活 地 添加 外 层 VLAN 标 签 ， 优 先 保证 重要 用 户 的 正常 通信 。 仅 在 S7700、S9300 和 
S9700 系 列 的 中 E 子 系列 和 F 子 系列 单 板 支 持 。 有 具体 的 配置 步骤 如 表 7-13 所 示 。 

注意 
基于 802.1p 优 先 级 的 灵活 QinQ 功 能 仅 对 入 方向 的 数据 帧 生效 ， 且 配置 此 功能 的 端口 的 类 型 必须 为 Trunk 
或 Hybrid 类 型 。 

































































表 7-13 基于 802.1p 优 先 级 的 灵活 QinQ 的 配置 步骤 








System-view 
例 如 : < HUAWEI > | 进入 系统 视图 
system-view 





Interface interface-type 
interface-number 
例如 : [HUAWEIinterface 


键入 要 配置 1 to 1 VLAN 映射 的 交换 机 端口 ,进入 接口 视图 
gigabitethernet 0/0/1 





配置 以 上 入 端口 以 不 带 标签 方式 加 入 外 层 VLAN( 此 VLAN 
有 必须 事先 创建 好 )。 参 数 vlan-id 指定 要 加 入 的 外 层 VLAN 
例如 : [HUAWEI- 的 ID， 取 值 范围 为 1 一 4 094 的 整数 

缺 省 情况 下 ，Hybrid 端口 以 Untagged 方式 加 入 VLAN1， 


GigabitEthernet0/0/1]port es 
人 UR ole 20 可 用 undo port hybrid vlan vlan-id 命令 删除 Hybrid 类 型 站 
ls 口 加 入 外 层 VLAN 











( 续 表 ) 


注意 





步骤 


说 明 





port vlan-stacking 8021p 
8021p-value stack-vlan vlan-id 
例如 : [HUAWEI- 
GigabitEthernet0/0/] ]port 
vlan-stacking 8021p 5 
stack-vlan 20 


(二 选 一 ) 配置 以 上 端口 基于 802.1p 优先 级 的 灵活 QinQ 功 
能 。 命 令 中 的 参数 说 明 如 下 。 

(1) 8021p-value: 指定 添加 外 层 VLAN 标签 后 帧 的 优先 级 ， 
取 值 范围 是 1 一 7 的 整数 ， 值 越 大 优先 级 越 高 

(2) vlan-id: 指定 添加 的 外 层 VLAN 的 ID, 取 值 范围 为 1 一 
4 094 的 整数 

缺 省 情况 下 ， 没 有 配置 VLAN Stacking 功能 ， 可 用 undo 
port vlan-stacking 8021p 80271p-value1 [ stack-vlan 


vlan-id ] 命令 删除 端口 基于 指定 802.1p 优先 级 的 VLAN 
Stacking 功能 








port vlan-stacking vlan 
Vlan-idl [to vlan-id2 ] 
8021p 8021p-valuel[ to 
8021p-value2 ] stack-vlan 
vlan-id3[ remark-8021p 
5 8021p-value3 ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1]port 
vlan-stacking vlan 100 8021p 
5 stack-vlan 20 
remark-8021p 1 








(二 选 一 ) 配置 接口 基于 VLAN 和 802.1p 优先 级 的 灵活 
QinQ 功能 。 命 令 中 的 参数 说 明 如 下 。 

(1) wlan-id1 [to vlan-id2 ]: 指定 要 添加 外 层 VLAN 标签 的 
帧 中 VLAN ID 范围 , 其 中 wan-id1 表示 起 始 VLAN ID, 可 
选 参数 to vlan-id2 表示 结束 VLAN ID， 取 值 范围 均 为 1 一 
4 094 的 整数 , 但 wlan-id2 的 取 值 必须 大 于 vlan-id1 的 取 值 ， 
它 和 vlan-id1l 共同 确定 一 个 范围 

(2) 8021p-valuel [to 8021p-value2 ]: 指定 添加 外 层 VLAN 
标签 的 帧 中 802.1p 优先 级 的 取 值 范围 ， 其 中 8021p-valuel 
表示 802.1p 优先 级 取 值 范围 的 下 限 ，to 8021p-value2 表示 
802.1p 优先 级 取 值 范围 的 上 限 

(3) wlan-id3: 指定 要 添加 的 外 层 标 签 VLAN ID， 取 值 范围 
为 1 一 4 094 的 整数 

(4) 8021p-value3: 可 选 参数 ， 重 标记 添加 外 层 标 签 
后 的 VLAN 帧 的 802.1p 优先 级 。 通 过 本 可 选 参数 的 
设置 ， 可 实现 端口 在 接收 到 带 VLAN 标签 的 数据 帧 
后 ,将 帧 中 的 802.1p 优先 级 修改 为 用 户 配置 的 802.1p 
优先 级 值 

缺 省 情况 下 ， 交 换 机 端口 下 没有 配置 对 数据 帧 中 携带 的 
VLAN 标签 进行 外 层 VLAN 标签 添加 操作 , 可 用 undo port 
vlan-stacking vlan vlan-idl [ to vian-id2 ] [ 8021p 
8021p-valuel [to 8021p-value2 ] ] [ map-vlan vlan-id3 ] 命 令 
取消 对 应 交换 机 端口 基于 VLAN+802.1p 优先 级 的 VLAN 
Stacking 功能 
































如 果 端 口上 同时 配置 了 port vlan-stacking vlan vlan-id1 [ to vlan-id2 ] 8021p 8021p-valuel [to 8021p- 
value2 ] stack-vlan vlan-id3 命 令 ( 没 有 指定 remark- 8021p 8021p-value3 参 数 ) 与 port vlan-mapping vlan 


8021p 8021p-valuel [ to 8021p-value2 ] map-vlan vlan-id3 命 令 〈 指 定 了 映射 后 802.1p 的 优 多 



































的 内 部 从 





























原来 的 优先 级 。 





























用 灵活 QinQ 功 能 后 帧 的 802.1p 优 先 级 按 port vlan-mapping vlan 8021p 命令 配置 生效 。 
如 果 在 入 端口 上 创建 了 DiffServ〈 差 分 服务 ) 域 ， 并 配置 YLAN 帧 的 802.1p 优 先 级 映射 ， 则 此 时 交换 机 
* 先 级 《是 指 不 同 的 服务 级 别 ) 配置 就 会 与 帧 中 原来 的 802.1p 优 儿 
再 次 配置 802.1p 优 先 级 映射 ， 重 新 恢复 帧 ! 






































表 7-14 在 出 端口 上 配置 802.1p 优 先 级 映射 的 配置 步骤 




















E 级 ) 。 此 时 ， 局 





E 级 不 一 样 。 这 时 就 需要 在 出 端口 上 
体 配 置 步骤 如 表 7-14 所 示 。 








System-view 
例如 : <HUAWEI> 


进入 系统 视图 





人 
diffsery domain 
ds-domain-name 


例如 : [HUAWEH 
diffsery domain di 


8021p-outbound 
Service-class { green | 
yellow | red } map 
$021p-value 

例如 : [HUAWEI- 
dsdomain-d1]8021p- 
outbound afl yellow 
map 2 


quit 
例如 : [HUAWEL- 
dsdomain-d1] quit 


创建 DiffServ 域 并 进入 DiffServ 域 视图 。 参 数 ds-domain-name 
用 来 指定 DiffSery 域 的 名 称 ， 为 长 度 为 1 一 31 的 字符 串 ， 但 不 
支持 空格 ， 不 区 分 大 小 写 ， 不 能 为 “n”“no”“non”、“none” 
缺 省 情况 下 ， 系 统 预定 义 了 一 个 名 为 default 的 DiffServ 域 ， 可 用 
undo diffserv domain ds-domain-name 命令 删除 指定 的 DiffServ 域 
将 DiffServ 域 中 端口 出 方向 上 VLAN 数据 帧 的 内 部 优先 级 映射 
为 指定 的 802.1p 优先 级 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) service-class: 指定 PHB 行为 , 取 值 可 以 为 BE、AF1 一 AF4、 
EF、CS6 或 CS7 (不 区 分 大 小 写 ) 

(2) green: 多 选 一 选项 ， 指 定数 据 帧 标记 的 颜色 为 绿色 

(3) yellow: 多 选 一 选项 ， 指 定数 据 帧 标记 的 颜色 为 黄色 

(4) red: 多 选 一 选项 ， 指 定数 据 帧 标记 的 颜色 为 红色 
(5)8021p-value: 指定 VLAN 数据 帧 中 原来 的 802.1p 优先 级 值 ， 
取 值 范围 是 0 一 7 的 整数 ， 值 越 大 优先 级 越 高 

【说 明 】 当 对 VLAN 数据 帧 进行 了 QoS 调度 之 后 ， 可 以 通过 本 命令 配 
置 DiffServ 域 中 数据 帧 的 PHB 行为 /颜色 到 802.1p 优先 级 之 间 的 映射 。 
将 DiffSery 域 绑 定 到 数据 帧 的 出 接口 后 ， 下 游 设备 将 根据 数据 帧 的 
802.1p 优先 级 进行 调度 。 这 方面 请 参见 本 书 第 10 章 

可 用 undo 8021p-outbound [ service-class { green | yellow | red } ] 命 令 
恢复 缺 省 的 映射 关系 。 如 果 没 有 指定 参数 service-class 和 颜色 选项 ， 
将 恢复 所 有 服务 等 级 和 数据 帧 颜色 与 对 应 的 802.1p 值 的 缺 省 配置 


返回 系统 视图 





interface intrerface-type 
interface-number 
例如 : [HUAWEH] 
interface gigabitethernet 
1/0/1 
port link-type {hybrid | 
trunk } 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] 

rt link-type hybrid 


键入 出 端口 ， 进 入 接口 视图 


配置 以 上 出 端口 为 Hybrid 或 者 Trunk 类 型 (基于 802.1p 优先 级 
的 灵活 QinQ 功能 可 以 是 Hybrid 或 者 Trunk 类 型 )。 缺 省 情况 下 ， 
端口 类 型 为 Hybrid， 可 用 undo port link-type 命令 恢复 端口 为 
缺 省 的 Hybrid 类 型 





port hybrid tagged vlan 
vlan-id 

例如 : [HUAWEI- 
GigabitEthernet1/0/]1 jport 
hybrid tagged vlan 20 或 
port trunk allow-pass 
vlan vian-id 

例如 : [HUAWEI- 
GigabitEthemet1/0/1] 
port trunk 

allow-pass vlan 20 





trust upstream 
ds-domain-name 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] 
trust upstream d1 





























【示例 1】 在 GE1/0/1 端 I 











配置 以 上 Hybrid 出 端口 以 带 标签 方式 加 入 指定 的 外 层 VLAN， 
或 者 配置 以 上 Trunk 类 型 出 端口 允许 指定 的 外 层 VLAN 通过 ， 
参数 的 取 值 范 围 为 1 一 4 094 的 整数 , 要 与 表 7-15 中 所 添加 的 外 
层 标签 VLAN ID 一 致 


在 以 上 Hybrid 或 Trunk 类 型 端口 上 应 用 前 面 的 DiffServ 
域 VLAN 优先 级 映射 配置 。 缺 省 情况 下 ， 端 口上 不 应 用 
任何 DiffServ 域 ， 可 用 undo trust upstream 命令 恢复 缺 
省 配置 

本 命令 为 覆盖 式 命令 , 即 在 同一 端口 视图 下 多 次 执行 该 命令 配 
置 后 ， 按 最 后 一 次 配置 生效 ， 但 如 果 要 修改 端口 下 应 用 的 
DiffServ 域 , 必须 先 执行 undo trust upstream 命令 删除 己 应 用 
的 DiffServ 域 ， 再 执行 trust upstream 命令 重新 应 用 新 的 
DiffServ 域 


上 配置 基于 802.1p 优 先 级 的 灵活 QinQ 〈 即 VLAN Stacking) 功能 ， 对 VLAN ID 


为 100、802.1p 优 先 级 为 5 的 帧 添加 外 层 标签 200， 并 重 标记 帧 的 802.1p 优 先 级 为 1。 


<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 1/0/1 





[HUAWEI-GigabitEthernet1/0/1] port vlan-stacking vlan 100 8021p 5 stack-vlan 200 remark-8021p 1 
【示例 2】 在 DiffServ 域 ds1 中 配置 端口 出 方向 上 PHB 行 为 是 AF1 的 黄色 VLAN 报 文 对 应 802.1p 优 先 级 为 








<HUAWEI>system-view 

[HUAWEH diffserv domain ds1 

[HUAWEI-dsdomain-ds1] 8021p-outbound afl yellow map 2 

【示例 3】 在 GE1/0/1 端 口上 应 用 DiffServ 域 ds1。 

<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet 1/0/1 

[HUAWEI-GigabitEthernet1/0/1] trust upstreamds1 

完成 以 上 配置 后 ， 可 在 入 或 出 端口 视图 下 执行 display this 命 令 查 看 该 端口 上 基于 802.1p 优 先 级 的 灵活 
QinQ 的 配置 信息 。 




















































































































7.5.4 配置 基于 流 集 略 的 灵活 QinQ 














这 里 所 说 的 “ 流 策略 ”是 指 将 流 分 类 和 流行 为 关联 后 形成 的 完整 的 QoS 策略 (有 关 QoS 策 略 方面 的 基础 知 
识 具体 参见 本 书 第 10 章 ) 。 用 户 可 以 根据 数据 帧 中 的 VLAN ID 进行 流 分 类 ， 然 后 将 流 分 类 与 某 种 流行 为 关 
联 ， 对 符合 流 分 类 的 数据 帧 进行 相应 的 处 理 〈 添 加 外 层 VLAN 标 签 ) ， 从 而 实现 灵活 QinQ 功 能 。 基 于 流 策 
略 的 灵活 QinQ 功 能 能 够 针对 业务 类 型 提供 差别 服务 。 

根据 以 上 分 析 可 以 得 出 ， 基 于 流 策略 的 灵活 QinQ 配 置 包括 以 下 4 个 基本 任务 。 

(1) 定义 流 分 类 : 针对 数据 帧 中 的 内 层 VLAN ID 进行 分 类 。 

(2) 定义 流行 为 : 根据 不 同 的 内 层 VLAN ID 添加 不 同 的 外 层 VLAN ID。 

(3) 创建 QoS 策略 ， 将 以 上 定义 的 流 分 类 与 流行 为 进行 关联 。 

(4) 在 端口 〈 必 须 是 Hybrid 类 型 端口 ) 的 入 方向 上 应 用 以 上 创建 QoS 策略 。 
基于 流 策略 的 灵活 QinQ 的 具体 配置 步骤 如 表 7-15 所 示 。 但 应 用 流 策略 的 端口 只 能 是 不 带 标签 的 Hybrid 














































































































































































































并 
时 








表 7-15 基于 流 策略 的 灵活 QinQ 的 配置 步 又 





| 配置 任务 | 步 晤 | 命令 | 
System-view 
例如 : <HUAWEI> 
System-view 


traffic classifier 
classifier-name 
例如 : [HUAWEJD 
traffic classifier cl 


定义 流 分 类 


进入 系统 视图 


创建 流 分 类 并 进入 流 分 类 视图 。 参 数 classifier-name 
用 来 指定 流 分 类 名 称 ， 为 1 一 31 个 字符 ， 且 需 以 字母 
开头 ， 不 支持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 系 统 没有 定义 任何 流 分 类 ， 可 用 undo 
traffic classifier classifier-name 命令 删除 指定 的 流 
分 类 





if-match vlan-id 
start-vlan-id 

[to end-vlan-id ] 
例如 : [HUAWEI- 
classifier-cljif-match 
vlan-id 2 

quit 

例如 : [HUAWEI- 
classifier-cl1]quit 


用 来 在 流 分 类 中 创建 基于 VLAN ID 进行 分 类 的 匹配 
规则 ， 指 定数 据 帧 的 内 层 VLAN ID。 其 他 说 明 人 参见 表 
7-15 中 的 第 3 步 


退出 流 分 类 视图 ， 返 回 系统 视图 





traffic behavior 
behavior-name 
例如 : [HUAWEH 
traffic behavior bl 


nest top-most 
VIan-id vian-id 

例如 : [HUAWEI- 
behavior-bl jnest 
top-most vlan-id 200 


quit 
7 例如 : [HUAWEI- 
behavior-b]] quit 


traffic policy 
policy-name 
[HUAWEH traffic 
policy pl 


创建 QoS Classifier classifier- 
策略 ， 关 联 name behavior 
流 分 类 与 behavior-name 
流行 为 例如 : [HUAWEI- 
trafficpolicy-pi] 
classifier cl 
behavior bl 


quit 
例如 : [HUAWEI- 
dsdomain-ds1] quit 


创建 流行 为 并 进入 流行 为 视图 。 参 数 behavior-name 
用 来 指定 流行 为 名 称 ， 为 1 一 31 个 字符 ， 且 需 以 字母 
开头 ， 不 支持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 系 统 未 创建 任何 流行 为 ， 可 用 undo 
traffic behavior behavior-name 命令 删除 指定 的 流行 为 
在 流行 为 中 配 转 创 建 外 层 VLAN 标签 的 动作 。 参 数 
Vian-id 用 来 指定 创建 的 外 层 标签 的 VLAN ID 值 ( 必 
须 已 在 本 地 交换 机 上 创建 )， 取 值 范围 为 1 一 4 094 的 
整数 

缺 省 情况 下 , 流行 为 中 没有 配置 创建 外 层 VLAN 标签 
的 动作 ， 可 用 undo nest 命令 在 流行 为 中 取消 创建 外 
层 VLAN 标签 的 动作 


退出 流行 为 视图 ， 返 回 系统 视 图 


创建 流 策略 并 进入 流 策略 视图 。 参数 policy-name 用 来 
指定 创建 的 流 策略 名 称 ， 为 1 一 31 个 字符 ， 且 需 以 字 
母 开头 ， 不 支持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 系 统 没有 创建 任何 流 策略 ， 可 用 undo 
traffic poliey policy-name 命令 删除 指定 的 流 策略 

将 以 上 定义 的 流 分 类 与 指定 的 流行 为 进行 绑 定 ， 组 成 
流 策略 。 创 建 流 策略 后 ， 必 须 在 流 策略 视图 下 将 流 分 
类 和 相应 的 流行 为 关联 起 来 , 即 绑 定 流 分 类 和 流行 为 ， 
使 流 策略 具有 实际 内 容 ， 该 策略 的 应 用 才 有 意义 
缺 省 情况 下 ， 流 策略 中 没有 比 定 流 分 类 和 流行 为 ， 可 
用 undo classifier classifier-name 命令 在 流 策略 中 取消 
流 分 类 和 流行 为 的 绑 定 


退出 流 策略 视图 ， 返 回 系统 视图 









































配置 任务 | 步骤 命令 说 明 
Interface interface-npe 
interface-mumber 
11 | 例如 : [HUAWEI] 键入 要 应 用 流 策略 的 交换 机 端口 ， 进 入 接口 视图 
interface 
gigabitethernet 1/0/1 
port link-type hybrid 
在 交换 机 port link-type hybrid 
端口 入 方向 pe ee i 
Vlan { { wan-i 0 
上 pF wrid2] }&<1-10> | | 把 以 上 Hybrid 端口 以 不 带 标签 方式 加 入 指定 的 外 层 
13 | 例如 : [HUAWEI- VLAN 中 ， 具 体 命令 参数 本 书 第 6 章 已 有 详细 介绍 ， 
GigabitEthernet1/0/1] 不 再 袭 述 
port hybrid 
Untagged vlan 23 
(rate posy, POLO 在 以 上 Hybrid 端口 的 入 方向 应 用 流 策略 
让 i 缺 省 情况 下 ， 交 换 机 端口 上 没有 应 用 任何 流 策略 ， 
GigabitEthemet 1/0/1] 可 用 undo traffic-policy [ policy-name ] inbound 命令 
traffic.policy plinbound | 取消 在 端口 上 应 用 流 策略 











完成 配置 后 ， 可 使 用 display current-configuration 命令 查看 基于 流 策略 的 灵活 QinQ 配 置 。 
【示例 1】 为 流行 为 b1 配 置 创建 外 





<HUAWEI>system-view 
[HUAWEI]| traffic behaviorb1 


[HUAWEI-behavior-tb] nest top-most vlan-id 100 
【示例 2】 在 新 创建 的 流 策略 pl: 























策略 。 
<HUAWEI>system-view 
[HUAWEI] traffic policy pl1 





配置 流 分 类 cl 关联 流行 为 b1， 然 后 在 GE1/0/1 站 











屋 VLAN 标 签 100 的 动作 。 








[HUAWEI-trafficpolicy-p1] classifier cl behaviorb1 


[HUAWEI-trafficpolicy-p1] guit 


[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] traffic-policy pl inbound 








7.5.5 基于 流 策略 的 灵活 QinQ 配 置 示例 
































莉 口 入 方向 上 应 用 该 流 


7.5.2 节 图 7-18 所 示 的 示例 也 可 采用 基于 策略 的 灵活 QinQ 配置 方法 ， 实 现 连接 在 SwitchA 和 SwitchB 上 














的 PC 上 网 
运营 商 互 相通 信 。 
1. 配置 思路 分 析 
本 示例 采 / 







































































VLAN。 最 后 只 需 创 建 
体 配 置 思 路 如 下 。 

















(1) 在 SwitchA 和 SwitchB 上 创建 所 需 的 外 层 VLAN， 然 后 定义 基于 内 


的 流行 为 。 


j 户 〈 内 层 标签 为 100 一 200) 和 VoIP) 


























(2) 在 SwitchA 和 SwitchB 下 行 端 口 为 不 带 标签 的 Hybrid 类 型 并 加 入 所 需 的 外 层 VLAN 中 ， 然 后 应 用 





流 策略 来 实现 灵活 QinQ 功 能 。 











j 基 于 流 策略 来 配置 灵活 QinQ 功能 时 关键 是 要 创建 正确 的 流 分 类 和 流行 为 ， 
就 是 基于 帧 中 的 内 层 VLAN ID 进行 的 分 类 ， 
























































] 户 (内 层 标签 为 300 一 400) 分 别 以 YLAN 2 和 VLAN 3 通过 


【这 里 的 流 分 类 








流行 为 就 是 对 不 同 范 围 的 内 层 VLAN ID 添加 不 同 的 外 层 


个 QoS 策 略 ， 把 以 上 流 分 类 和 流行 为 关联 起 来 ， 并 应 用 到 对 应 的 交换 机 端口 上 。 具 


(3) 在 SwitchA 和 SwitchB 连接 运营 商 网 络 的 端口 上 配置 为 Trunk 或 者 带 标签 的 Hybrid 类 型 ， 








民 VLAN 了 的 流 分 类 ， 定 义 对 应 


























并 允许 





























所 有 的 外 层 VLAN 通 过 。 

2. 有 具体 配置 步骤 

(1) 在 SwitchA 和 SwitchB 上 创建 所 需 的 外 层 VLAN 2 和 VLAN 3。 
SwitchA 上 的 配置 ; 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan batch 2 3 
SwitchB 上 的 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] vlan batch 2 3 

(2) 在 SwitchA 和 SwitchB 上 配置 流 策略 。 
SwitchA 上 的 配置 ; 
[SwitchAj] traffic classifier c1 
[SwitchA-classifier-c1| if-match vlan-id 100 to 200 
[SwitchA-classifier-c1] quit 
[SwitchAj] traffic behavior bl1 
[SwitchA-behavior-b1] nest top-most vlan-id 2 
[SwitchA-behavior-b1] quit 
[SwitchAj] traffic classifier c2 
[SwitchA-classifier-c2| if-match vlan-id 300 to 400 
[SwitchA-classifier-c2] guit 
[SwitchA | traffic behaviorb2 
[SwitchA-behavior-b2] nest top-most vlan-id 3 
[SwitchA-behavior-b2] quit 
[SwitchA] traffic policy p1 























































































































[SwitchA-trafficpolicy-p1] classifier c1 behaviorb1 
[SwitchA-trafficpolicy-p1] classifier c2 behaviorb2 
[SwitchA-trafficpolicyp1] quit 

SwitchB 上 的 配置 : 
[SwitchB | traffic classifier c3 
[SwitchB-classifier-c3] if-match vlan-id 100 to 200 
[SwitchB-classifier-c3] quit 

[SwitchB | traffic behaviorb3 
[SwitchB-behavior-b3] nest top-most vlan-id 2 
[SwitchB-behavior-b3] quit 

[SwitchB] traffic classifier c4 
[SwitchB-classifier-c4] if-match vlan-id 300 to 400 
[SwitchB-classifier-c4] quit 

[SwitchB] traffic behaviorb4 























[SwitchB-behavior-b4] nest top-most vlan-id 3 
[SwitchB-behavior-b4] quit 
[SwitchB] traffic policy p2 
[SwitchB-trafficpolicy-p2] classifier c3behaviorb3 
[SwitchB-trafficpolicy-p2] classifier c4behaviorb4 
[SwitchB-trafficpolicy-p2] quit 

(3) 在 SwitchA 和 SwitchB 的 GE1/0/1 端 口上 应 用 流 策略 实现 灵活 QinQ 功 能 。 
SwitchA 上 的 配置 : 
[SwitchA] interfacegigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port link-type hybrid 
[SwitchA-GigabitEthernet1/0/1] port hybrid Untagged vlan 2 3 
[SwitchA-GigabitEthernet1/0/1] traffic-policy pl inbound 
[SwitchA-GigabitEthernet1/0/1] quit 
SwitchB 上 的 配置 : 
[SwitchB] interfacegigabitethernet 1/0/1 
[SwitchB-GigabitEthernet1/0/1] port link-type hybrid 
[SwitchB-GigabitEthernet1/0/1] port hybrid Untagged vlan 23 
[SwitchB-GigabitEthernet1/0/1] traffic-policy p2 inbound 
[SwitchB-GigabitEthernet1/0/1] guit 

(4) 配置 SwitchA 和 SwitchB 与 运营 商 网 络 连 接 的 GE1/0/2 端 口 类 型 为 Trunk 或 带 标签 的 Hybird 类 型 ， 并 



















































































加 入 所 需 的 外 层 VLAN 中 。 


SwitchA 上 的 配置 : 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type trunk 
[SwitchA-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 3 
[SwitchA-GigabitEthernet1/0/2] quit 

SwitchB 上 的 配置 : 
[SwitchB] interface gigabitethernet 1/0/2 

[SwitchB-GigabitEthernet1/0/2] port link-type trunk 

[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 3 

[SwitchB-GigabitEthernet1/0/2] guit 

如 果 SwitchA、SwitchB 上 配置 正确 ， 则 PC 上 网 用 户 可 以 通过 运营 商 网 络 互 相通 信 ; VolIP 用 户 可 以 通过 















































































































































运营 


7.6 QinQ 有 映射 配置 与 管理 





疝 网 络 互相 通 重信 o 
































QinQ 了 映射 功能 可 以 将 用 户 的 VLAN 标 签 映射 为 指定 的 VLAN 标 签 ， 从 而 起 到 屏蔽 不 同 用 户 VLAN 标 签 的 






































作用 。 但 QinQ 了 映射 功能 只 能 在 子 接口 上 应 用 ， 通 过 QinQ 了 映射 功能 ， 子 接口 在 向 外 发 送 本 地 VLAN 的 帧 时 ， 
将 帧 中 的 本 地 VLAN 标 签 蔡 换 成 外 部 VLAN 标 签 ， 在 接收 外 部 YLAN 的 帧 时 ， 又 将 帧 中 的 外 部 VLAN 标 签 替 
换 成 本 地 VLAN 标 签 。QinQ 映射 功能 节省 了 大 量 的 物理 端口 ， 因 为 一 个 物理 端口 可 以 划分 许多 子 接口 ， 而 



































































































































每 个 子 接口 可 以 单独 配置 不 同 VLAN ID 范 
QinQ 映 射 又 分 1 to 1 的 映射 方式 和 2 to 2 的 映射 方式 ， 仪 在 S57001 
S9300 和 S9700 系 列 中 支持 。 下 面 分 别 介 绍 其 配置 方法 。 


本 
注 忌 














物理 端口 和 该 端口 














7.6.1 配置 1 to 1 的 QinQ 映 射 














下 的 子 接口 
































不 能 对 同一 VLAN 进 











一 层 标 签 映射 为 用 户 指 定 的 一 层 标签 。“1 to 1” 的 意思 也 可 理 
带 有 一 层 VLAN 标 签 。 
lto 1 的 QinQ 了 映射 功能 的 配置 方法 很 简单 ， 只 和 






































在 子 接口 上 部 署 1 to 1 的 QinQ 映 射 功能 后 ， 当 子 接口 

















围 的 标签 映射 。 有 具体 参见 本 章 7.3.4 节 介绍 。 
























































有 一 层 标 签 的 数 和 


























明 要 在 对 应 子 接口 视图 下 使 


























tovlan-id2 ] map-vlan vidvlan-id3 命 令 即 可 。 命 令 中 的 参数 说 明 如 下 。 


(1) vlan-idl to vlan-id2: 指定 QinQ 帧 吕 














VLAN ID 范围 











的 结束 值 ， 取 值 范 








均 为 3 一 4 094 的 整数 ， 








(2) vlan-id3: 指定 映射 后 上 





















































缺 省 情况 下 ， 子 接口 下 没有 配置 对 报 文中 携带 



































原来 一 层 标 签 的 VLAN ID， 其 中 vlan-id1 月 
的 起 始 值 ， 取 值 范围 均 为 2 一 4 094 的 整数 ， 可 选 参数 vlan-id2 用 来 指定 原 标签 的 VLAN ID 范 上 
但 vlan-id2 必 须 大 于 vlan-id1l 。 
的 一 层 标签 的 VLAN ID， 取 值 范围 为 1 一 4 094 的 整数 。 
上 的 标签 进行 映射 操作 ， 可 | 























id1 [ to vlan-id2 ] map-vlan vid vlan-id3 命 令 取 消 子 接口 对 应 的 QinQ 映 射 功能 。 


Si 
注 忌 











本 命令 用 来 配置 子 接口 单 层 VYLAN 了 映射 ， 且 
在 全 局 下 创建 ， 也 不 能 查看 该 VLAN 信息 。 但 映射 前 的 标签 和 同一 物理 端口 下 的 

















外 层 标签 互 斥 ， 即 两 者 取 值 不 能 相同 。 



































的 S5710EI、S5700HI、S7700、 





行 VLAN 了 映射 或 灵活 QinQ 配 置 。 如 果 已 经 在 子 接口 上 
配置 QinQ 了 映射 功能 ， 那 么 不 能 再 在 该 子 接口 下 配置 灵活 QinQ、QinQ 终 结 、Dot1q 终 结 相 关 命令 。 

















居 帧 后 ， 将 数据 帧 中 携带 的 
为 直接 进行 标签 蔡 换 ， 帧 在 映射 前 、 后 都 只 




















j qinq mapping vidvlan-id1 [ 





来 指定 原 标签 的 


























Cry 





jundo qinq mapping vid vlan- 


只 对 入 方向 报 文 生效 。 但 子 接口 配置 的 转换 前 VLAN 不 能 


















































他 子 接口 下 用 来 蔡 换 的 

















【示例 】 配 置 Gigabitethernet0/0/1.1 端 口 的 QinQ 映 射 功能 ， 将 外 部 VLAN 100 蔡 换 为 本 地 VLAN 200。 


<HUAWEI>system-view 





[HUAWEI] interface gigabitethernet 0/0/1.1 
[HUAWEI-GigabitEthernet0/0/1.1] qing mapping vid 100 map-vlan vid 200 





7.6.2 配置 2 to 1 的 QinQ 映 射 

















在 子 接口 


层 标签 中 的 外 层 标 签 映射 为 用 
标签 当 作 数据 部 分 使 用 











bP 团 2 to 1 的 QinQ 了 映射 功能 ， 当 子 接口 收 到 带 有 两 











昌 户 指定 的 一 层 标签 。 






































异 珊 内 层 标 签 的 作用 


























层 标 签 的 数据 帧 后 ， 将 数据 帧 中 携带 的 双 
即 仅 对 帧 中 原来 双 层 标签 中 的 外 层 标 签 进行 蔡 换 ， 内 层 














2 to 1 的 QinQ 映 射 功能 的 配置 方法 也 很 简单 ， 只 需 在 对 应 的 子 接口 视图 下 使 用 qing mappingpe-vid vlan- 
id1 ce-vid vlan-id2 [ to vlan-id3 ] map-vlan vid vlan-id4 命 令 即 可 。 命 令 中 的 参数 说 明 如 下 。 
《1) vlan-id1: 指定 帧 中 原来 携带 的 外 层 标 签 的 VLAN ID， 取 值 范围 是 2 一 4 094 的 整数 。 
(2) vlan-id2 [to vlan-id3 ] : 指定 帧 中 原来 携带 的 内 层 标 签 的 VLAN ID 范围 ， 其 中 vlan-id2 用 来 指定 内 


层 标签 的 VLAN ID 


围 的 起 始 值 ， 取 值 范 




















VLANID 范 国 





(3) vlan-id4: 指定 映射 后 


























缺 省 情况 下 ， 子 接口 下 没有 丁 












































围 为 1 一 4 094 昌 














ee 


汇 






































的 整数 ， 可 选 参数 vlan-id3 
值 ， 取 值 范围 为 2 一 4 094 的 整数 ， 但 vlan-id3 必 须 大 于 vlan-id2。 
的 外 层 标 签 的 VLAN ID， 

















c 置 对 帧 中 携带 的 标签 进 























围 为 1~4 094 的 整数 。 
行 映射 操作 ， 可 用 undo qinq mapping pe-vid vlan- 


j 来 指定 内 层 标签 的 


























idl ce-vid vlan-id2 [ to vlan-id3 ] map-vlan vid vlan-id4 命 令 取 消 子 接口 替换 带 有 双 层 标签 的 帧 的 外 层 标签 。 
注意 
本 命令 用 来 配置 子 接口 双 层 VLAN 了 映射 (只 对 外 层 VLAN 映 射 ， 内 层 VLAN 不 变 ， 且 只 对 入 方向 报 文生 
效 ) 。 子 接口 配置 的 转换 前 VLAN 不 能 在 全 局 下 创建 ， 也 不 能 查看 该 VLAN 信 息 。 且 物理 端口 和 该 物理 端 
口 下 的 子 接口 不 能 对 同一 VLAN 进 行 VLAN 映 射 或 灵活 QinQ 配 置 。 
【示例 】 将 GE0/0/1.1 子 接口 接收 到 的 外 层 标签 为 10、 内 层 标 签 为 20 的 数据 帧 的 外 层 标 签 蔡 换 为 30。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 0/0/1.1 
[HUAWEI-GigabitEthernet0/0/1.1] qing mapping pe-vid 10 ce-vid 20 map-vlan vid 30 





























上 



















































































7.7VLAN 了 映射 基础 























Ml 








上 节 介 绍 了 具有 双 层 标签 的 QinQ VLAN 数 据 帧 的 标签 映射 ， 本 节 要 介绍 的 广泛 意义 上 的 帧 (包括 双 层 
标签 的 QinQ 帧 、 单 层 标 签 的 VLAN 帧 和 不 带 标 签 的 普通 帧 的 标签 映射 ， 但 这 里 均 是 在 物理 端口 上 应 用 
的 ， 不 是 像 QinQ 映 射 那样 仅 可 应 用 于 子 接 口上 。 
虽然 理论 上 可 以 有 4 096 个 VLAN 可 用 ,但 在 实际 的 组 网 中 ， 有 些 设备 所 支持 的 VLAN ID 范围 要 远 小 
于 这 个 值 ， 且 还 有 一 部 分 VLAN ID 是 保留 不 能 用 的 。 当 用 户 网 络 有 业务 数据 需要 穿 过 ISP 网 络 时 ， 就 可 能 导 
致 用 户 的 VLAN ID 与 ISP 的 公 网 VLAN ID 相互 冲突 。 为 了 解决 这 一 问题 ， 于 是 开发 了 本 节 将 要 介绍 的 VLAN 
映射 “VLAN Mapping) 技术 。 通 过 VLAN 了 映射 的 配置 可 实现 用 户 VLAN 与 运营 商 VLAN 的 相互 映射 ， 在 数 
据 帧 到 达 配 置 了 VLAN 映射 的 交换 机 端口 时 替换 用 户 数据 帧 中 的 VLAN 标签 ， 使 用 户 业 务 按照 运营 商 的 
VLAN ID 规划 进行 传输 。 













































































































































































































































































7.7.1 VLAN 映 射 原理 





VLAN 映 射 可 以 实现 在 用 户 VLAN ID 和 运营 商 VLAN ID 之 间 相 互 转换 。 配 置 了 VLAN 映 射 功 能 后 会 在 交 
换 机 内 部 维护 一 张 VYLAN 了 映射 表 ， 然 后 对 进入 交换 机 的 数据 帧 根据 映射 表 进行 VLAN 映 射 操作 。VLAN 映 射 
发 生 在 数据 帧 从 入 交换 机 端口 接收 进来 之 后 ， 到 从 出 端口 转发 出 去 之 前 。 交 换 机 收 到 数据 数据 帧 后 ， 会 根 
据 帧 中 是 否 带 有 VLAN 标 签 做 出 以 下 两 种 处 理 方式 。 

(1) 数据 帧 带 有 VLAN 标签 : 根据 配置 的 VLAN 映射 方式 ， 决 定 蔡 换 单 层 、 双 层 或 双 层 中 的 外 
VLAN 标 签 ; 然后 进入 MAC 地 址 学 习 阶 段 ， 根 据 源 MAC 地 址 + 映射 后 的 VLAN ID 刷新 MAC 地 址 表 项 ;根据 
目的 MAC+ 了 映射 后 VLAN ID 查 找 MAC 地 址 表 项 ， 如 果 没 有 找到 ， 则 在 VLAN ID 对 应 的 VLAN 内 广播 ， 否 则 
从 表 项 对 应 的 端口 转发 。 

(2) 数据 帧 不 带 VLAN 标 签 : 根据 配置 的 VLAN 划 分 方式 决定 是 否 添 加 VLAN 标 签 ， 对 于 不 能 加 入 
VLAN 的 数据 帧 上 送 CPU 或 丢弃 ， 和 否则 添加 标签 ;然后 进入 MAC 地 址 学 习 阶 段 ， 按 照 二 层 转 发 流程 进行 
转发 。 

如 图 7-19 所 示 ， 如 果 在 SwitchA 的 端口 PortL 上 配置 了 VLAN 2 和 VLAN 3 映射 ， 则 在 端口 Port1 向 外 发 送 
VLAN 2 的 帧 时 会 将 帧 中 的 VLAN 标 签 蔡 换 成 VLAN 3; 在 接收 VLAN 3 的 帧 时 又 将 帧 中 的 VLAN 标 签 蔡 换 成 
VLAN 2， 然 后 按照 二 层 转 发 流程 进行 数据 转发 ， 这 样 VLAN 2 和 VLAN 3 就 能 实现 互相 通信 。 

当然 ， 要 想 借 助 VYLAN 了 映射 实现 两 个 VLAN 内 设备 互相 通信 ， 这 两 个 VLAN 内 设备 的 IP 地 址 还 必须 处 于 
同一 IP 子 网 中 ， 否 则 不 同 VLAN 内 设备 间 的 互通 需要 依赖 三 层 路 由 实现 ， 此 时 就 失去 了 VLAN 映 射 的 意义 。 
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图 7-19 VLAN 了 映射 应 用 示例 








7.7.2 VLAN 映 射 特性 及 产品 支持 








VLAN 了 映射 特 性 包括 “VLAN 了 映射 方式 ”和 “VLAN 了 映射 实现 方式 ”两 个 方面 。 但 是 不 同 华为 S 交 换 机 系列 对 
VLAN 映 射 特性 的 支持 有 较 大 区 别 。 下 面 分 别 予 以 介绍 。 

1. VLAN 映 射 实现 方式 
在 VLAN 了 映射 实现 方式 方面 ， 不 同 的 交换 机 系列 也 有 很 大 区 别 : 在 S2700 和 S3700 系 列 交 换 机 中 仅 支 持 
基于 VLAN 的 VLAN 上 映射 ; 在 $5700 和 S6700 系 列 交 换 机 中 仅 支 持 基 于 VLAN 的 VLAN 映射 和 基于 流 策略 的 
VLAN 映射 两 种 实现 方式 ， 而 在 高 端的 S57700、S9300 和 S9700 系 列 中 ， 支 持 基 于 VLAN 的 VLAN 了 映射 、 基 于 
802.1p 优 先 级 的 VLAN 映射 、 基 于 VLAN+802.1p 优先 级 组 合 方式 的 VLAN 映射 ， 以 及 基于 流 策略 的 VLAN 
映射 共 4 种 实现 方式 。 以 上 总 共 4 种 VLAN 了 映射 实现 方式 的 说 明 如 表 7-16 所 示 。 







































































表 7-16 VLAN 了 映射 方式 比较 


VLAN 映射 实 
现 方式 


端口 在 接收 到 带 有 VLAN 标签 的 数据 帧 后 ， 依 据 帧 中 的 VLAN ID 进行 映射 操作 ， 
基于 VLAN | 将 帧 中 的 VLAN ID 映射 为 公 网 的 VLAN ID 

基于 VLAN 的 VLAN 映射 可 以 实现 替换 单 层 、 双 层 或 双 层 中 的 外 层 标签 的 功能 
端口 在 接收 到 带 有 VLAN 标签 的 数据 帧 后 ， 依 据 帧 中 的 802.1p 优先 级 进行 灵活 的 
映射 操作 ， 将 帧 中 的 VLAN ID 映射 为 公 网 的 VLAN ID 

基于 802.1p 优先 级 的 VLAN 映射 可 以 实现 替换 单 层 标签 的 功能 





基于 802.1p 
优先 级 








( 续 表 ) 


VLAN 映射 实 

现 方式 it 

基于 端口 在 接收 到 带 有 VLAN 标签 的 数据 帧 后 , 同时 依据 帧 中 的 802.1p 优先 级 和 VLAN 

VLAN+802.1p | ID 进行 灵活 的 映射 操作 ， 将 帧 中 的 VLAN ID 映射 为 公 网 的 VLAN ID 

优先 级 基于 VLAN+802.1p 优先 级 的 VLAN 映射 可 以 实现 替换 单 层 标签 的 功能 
通过 配置 流 策略 ， 对 数据 帧 中 的 VLAN ID 进行 流 分 类 ， 然 后 将 流 分 类 与 某 种 流行 
为 关联 ， 对 符合 流 分 类 的 数据 帧 进行 相应 的 处 理 ( 重 标 记 数 据 帧 的 VLAN ID 值 )， 
基于 流 策略 | 从 而 实现 VLAN 映射 功能 。 基于 流 策略 的 VLAN 映射 能 够 针对 业务 类 型 提供 差别 
服务 
基于 流 策略 的 VLAN 映射 可 以 实现 替换 单 层 、 双 层 或 双 层 中 的 外 层 标签 的 功能 














说 明 
当 基 于 802.1p 优 先 级 的 VLAN 映 射 与 基于 VLAN 的 VLAN 映 射 同时 匹配 时 ， 基于 802.1p 优 先 级 的 VLAN 
映射 优先 ， 当 基于 802.1p 优 先 级 的 VLAN 了 映射 与 基于 VLAN 的 VLAN 了 映射 指 定 的 映射 前 VLAN 相 同 ， 但 是 基 























于 VLAN 的 VLAN 了 映射 指定 了 映射 后 的 802.1p 优 先 级 ， 而 基于 802.1p 优 先 级 的 VLAN 了 映射 没 有 指定 映射 后 的 















































802.1p 优 先 级 时 ， 映 射 后 的 802.1p 优 先 级 为 基于 VLAN 的 VLAN 了 映射 指定 的 优先 级 。 


2. VLAN 了 映射 方式 


























同 ， 下 面具 体 介 绍 。 
(1) 1to 1 的 映射 方式 























lto 1 的 VLAN 了 映射 功能 可 使 设备 端口 在 接收 到 带 有 单 层 VLAN 标 签 的 数据 帧 时 ， 将 数据 帧 中 携带 的 























目前 ， 华 为 $ 系 列 交换 机 支持 以 下 几 种 YLAN 了 映射 方式 ， 当 然 不 同 交 换 机 系列 对 不 同 映 射 方式 的 支持 不 











过 








层 VLAN 标 签 映射 为 公 网 的 单 层 VLAN 标 签 。 这 与 前 面 7.6.1 节 介绍 的 1to 1 的 QinQ 了 映射 的 功能 是 一 样 的 但 实 





















































现 方式 不 一 样 。 目 前 除了 S1700 和 S2700SI 系 列 外 ， 其 他 华为 $ 系 列 交换 机 均 支 持 这 种 VLAN 了 映射 方式 。 
图 7-20 所 示 为 一 个 园区 接 入 网 中 采用 了 1 to 1VLAN 了 映射 方式 。ISP 端 为 每 个 家 庭 的 不 同业 务 采 用 了 不 
同 的 VLAN (HSI、IPTV、VoIP 分 别 对 应 VLAN 2、VLAN 3 和 VLAN 4) 进行 传输 。 




























































































为 了 区 分 不 同 的 家 庭 用 户 ， 需 要 在 楼 道 交 换 机 处 将 不 同 家 庭 用 户 的 相同 业务 采用 不 同 的 VLAN 进 行 发 
送 ， 即 进行 1 to 1 的 VLAN 了 映射。 显然 ， 这 就 需要 提供 大 量 的 YLAN 来 隔离 不 同 用 户 的 不 同业 务 ， 而 汇聚 层 
网 络 接 入 设备 可 以 提供 的 VLAN 数量 有 限 “〈 特 别 是 在 大 的 园区 网 络 中 ) ， 所 以 又 需要 在 园区 交换 机 上 完成 









































VLAN 的 汇聚 功能 ， 即 将 由 多 个 VLAN 发 送 的 、 不 同 用 户 的 相同 业务 采用 同一 个 VLAN 进 行 发 送 ， 这 其 实 又 














是 “N to 1 的 VLAN 了 映射 方式 。 
(2) 2 to 1 的 映射 方式 














2 to 1 的 VLAN 了 映射 功能 可 使 设备 主 接口 在 接收 到 带 有 双 层 VLAN 标 签 的 数据 帧 时 ， 将 数据 帧 中 携带 的 
外 层 标签 映射 为 公 网 的 标签 ， 内 层 标 签 作为 数据 透 传 (也 就 是 当做 数据 的 一 部 分 ， 不 考虑 内 层 的 VLAN 标 























签 ) 。 目 前 除了 S1700、S2700、S3700 和 S5700SI 系 列 外 ， 



































他 华为 系列 交换 机 均 支 持 2 to 1 的 VLAN 映 射 


HSI 





VoIP © 


VolP CY vLAN4 






















家 庭 网 关 


VLAN 2->VLAN 201 


VLAN 3->VLAN 301 
VLAN 4->VLAN 401 


VLAN 2->VLAN 202 
VLAN 3->VLAN 302 
VLAN 4->VLAN 402 


VLAN 201~VLAN 300->VLAN 501 
VLAN 301~VLAN 400->VLAN 502 
VLAN 401~VLAN 500->VLAN 503 





SI 汇聚 交换 机 

VLAN 211~VLAN 310->VLAN 501 

VLAN 311~VLAN 410->VLAN 502 

VLAN 411~VLAN 510->VLAN 503 
家 庭 网 关 


小 区 交换 机 





VLAN 2->VLAN 211 
VLAN 3->VLAN 311 
VLAN 4->VLAN 411 


VLAN 2->VLAN 212 
VLAN 3->VLAN 312 
VLAN 4->VLAN 412 


图 7-20 1 to 1 的 VLAN 映 射 应 用 示例 














2 to 1 的 VLAN 映 射 主要 | 





] 于 图 7-21 所 示 的 园区 组 网 环境 中 。 用 户 通过 家 庭 网 关 、 楼 道 交 换 机 和 小 区 交 
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pa 








换 机 接 入 汇聚 层 网 络 。 为 了 区 分 不 同 的 用 户 和 业务 ， 以 便 进 行 网 络 管理 和 计 费 等 ， 可 以 在 楼 道 交 换 机 上 部 









































署 QinQ 功 能 (具体 将 在 本 章 后 面 介绍 ) ， 以 实现 数据 帧 带 有 双 层 甚至 多 层 VLAN 标签 。 然 后 为 了 节约 

VLAN 资源 ， 在 楼 道 交 换 机 上 配置 N to 1 的 VLAN 了 映射 ， 以 一 个 外 层 VLAN 标 签 映 射 多 个 内 层 VLAN 标 签 
(如 图 中 的 VLAN 201 标 签 映射 VLAN 2 和 VLAN 3 这 两 个 VLAN) ， 同 时 在 小 区 交换 机 上 部 署 2to1 的 

VLAN 映射 功能 ， 将 不 同 用 户 的 相同 业务 数据 帧 中 的 外 层 VLAN 标签 采用 同一 个 YLAN 标 签 进行 奉 换 《如 
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(3) 2 to 2 的 映射 方式 















































VALN 501 标 签 蔡 换 原 来 VLAN 201 标 签 和 VLAN 401 标 签 ) 。 





2 to 2 的 VLAN 映 射 功能 可 使 设备 主 接口 在 接收 到 带 有 双 层 VLAN 标 签 的 数据 帧 时 ， 将 数据 帧 中 携带 的 
双 层 VLAN 标签 均 映射 为 公 网 的 双 层 VLAN 标签 。 目 前 仅 S7700、S9300、S9300E 和 S9700 高 端 系 列 交 换 机 


支持 2 to 2 的 VLAN 了 映射 功能 。 


于 














2 to 2 的 VLAN 映 射 主要 | 























于 图 7-22 所 示 的 组 网 环境 。 在 本 示例 中 ， 处 于 不 同 地理 位 置 的 用 户 为 了 可 以 






























































规划 自己 的 私 网 VLAN ID， 不 会 导致 和 ISP 网 络 中 的 VLAN ID 冲突 ， 同 时 便于 区 分 不 同 的 用 户 和 业务 ， 采 





























用 了 QinQ 方式 传输 ， 即 用 户 数据 帧 中 带 有 双 层 VLAN 标 签 。 但 是 由 于 用 户 数 据 帧 中 的 VLAN ID 与 ISP 网 络 
分 配 的 VLAN ID 不 一 致 ， 将 导致 用 户 数据 帧 被 丢弃 ， 从 而 导致 用 户 通信 中 断 。 这 时 可 以 在 PE〔〈 提 供 商 边 
缘 ) 侧 部 署 2 to 2 的 VLAN 映 射 功 能 ， 将 用 户 网 络 的 双 层 标签 全 部 替换 成 ISP 网 络 的 双 层 标签 。 如 数据 帧 中 


的 外 层 私 网 VLAN 100 和 VLAN 200 均 被 蔡 换 成 外 层 公 网 YLAN 50， 内 层 私 网 VLAN 10 和 VLAN 20 被 蔡 换 成 
内 层 公 网 VLAN 60。 





























HSI ;ji Volp ii IPTV : : HS! i:: VoIP ii IPTV 
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GE1/0/1 


GE1/0/]1 
GE1/0/] 


Switchl GE1/0/] 


outside tag: 100 outside tag:200 
inner tag:10 inner tag:20 
O VLAN Mapping 


图 7-22 2 to 2 的 VLAN 映 射 应 用 示例 






Switch4 





7.8 配置 1 to 1 的 VLAN 了 映射 





1to 1 的 VLAN 映 射 功能 可 将 数据 帧 中 携带 的 单 层 VLAN 标 签 映 射 为 公 网 的 单 层 VLAN 标 签 。*1 to 1” 的 含 
义 就 是 单 层 VLAN 标 签 与 单 层 VLAN 标 签 之 间 的 蔡 换 ， 这 也 就 决定 了 在 接 入 层 交 换 机 上 无 需 使 用 生成 双 层 其 
至 多 层 VLAN 标 签 的 QinQ 协 议 。 根 据 7.7.2 节 介绍 的 VLAN 了 映射 实现 方式 的 不 同 ，1 to 1 的 VLAN 映 射 功 能 
有 几 种 不 同 的 配置 方法 ， 本 节 将 分 别 予 以 介绍 。 


ee 
注意 


1to 1 的 VLAN 了 映射 功能 必须 在 交换 机 与 其 他 设备 相连 的 Trunk 或 Hybrid 类 型 端口 
Hybrid 类 型 端口 必须 加 入 映射 后 的 VLAN， 但 S 系 列 交 换 机 中 的 前 











VLAN。 在 本 节 后 






































给 出 ， 在 实际 方案 配置 时 一 定 要 加 上 。 


7.8.1 配置 基于 VLAN 的 1to 1 的 VLAN 了 映射 








基于 VLAN 的 VLAN 了 映射 功能 可 实现 端 


口 在 接收 到 带 有 单 层 VLAN 标 签 的 数 



























































后 的 








上 配置。 这些 Trunk 或 
有 板 必须 以 带 标签 方式 加 入 映 身 
四 各 小 节 介绍 的 1 to 1 的 VLAN 映 射 功能 配置 中 有 关 端 口 类 型 的 允许 VLAN 的 配置 不 再 具体 














中 帧 后 ， 依 据 帧 中 的 VLAN 


ID 进行 映射 操作 ， 将 帧 中 的 VLAN ID 映射 为 指定 的 VLAN ID。 其 配置 方法 很 简单 ， 只 需要 指定 VLAN 了 映射 


中 的 源 VLAN 和 目的 VLAN (当然 这 些 VLAN 必 须 和 做 








VLAN 映射 功能 即 可 。 有 具体 如 表 7-17 所 示 。 


表 7-17 基于 VLAN 的 1 to 1 的 VLAN 映 射 的 配置 步骤 



































取 








步骤 


命令 


说 明 





System-view 
例如 : <HUAWEI > 
System-view 


进入 系统 视图 





iD 


interface interface-type 
interface-number 

例 如 
[HUAWEI]interface 
gigabitethernet 0/0/1 


键入 要 配置 1 to 1 VLAN 映射 的 交换 机 端口 ， 进 入 接口 视图 





qing vlan-translation 
enable 

例如 : [HUAWEI- 
GigabitEthemet0/0/1] qinq 
vlan-translation enable 


使 能 端口 的 VLAN 转换 功能 。 只 有 在 端口 使 能 了 VLAN 
转换 功能 后 , 才 可 以 在 端口 上 配置 VLAN 映射 和 灵活 QinQ 
功能 。 本 命令 仅 S2700、S3700、S5700 和 S6700 系列 需要 
配置 

缺 省 情况 下 ,没有 使 能 端口 的 VLAN 转换 功能 ,可 用 undo qinq 
vlan-translation enable 命令 取消 端口 的 VLAN 转换 功能 








port vlan-mapping vlan 
vlan-idl [to vlan-id2 ] 
map-vlan v/an-id3 

[ remark-8021p 
$8021p-value ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1]port 
GigabitEthernet0/0/1 

to 0/0/4 





配置 端口 的 单 层 标签 的 VLAN 映射 功能 。 命令 中 的 参数 说 明 
如 下 。 

(1) vlan-id1 [to vlan-id2 ]: 指定 要 映射 的 源 VLAN ID， 其 中 
vlan-idl 表示 起 始 VLAN ID， 可 选 参数 to vlan-id2 表示 结束 
VLAN ID， 取 值 范 围 均 为 1 一 4 094 的 整数 。 同 一 个 交换 机 端 
口 推荐 最 多 指定 16 个 映射 前 VLAN 

(2) vlan-id3: 指定 映射 后 的 VLAN ID, 取 值 范围 也 为 1 一 4 094 
的 整数 











说 明 








port vlan-mapping vlan 
vian-idl [to vian-id2 ] 
map-vlan vlan-id3 
[remark-8021p 
8021p-value ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1]port 
GigabitEthernet0/0/1 

to 0/0/4 





(3) 8021p-value: 可 选 参数 ,指定 映射 后 的 VLAN 帧 的 802.1p 
优先 级 。802.1p 是 802.1Q 的 VLAN 帧 中 的 PRI (Priority) 字 
段 ， 长 度 为 3bit， 用 于 当 交 换 设备 阻塞 时 ， 优 先 发 送 优先 级 高 
的 数据 包 。 通 过 本 可 选 参 数 的 设置 ， 可 实现 端口 在 接收 到 带 
VLAN 标签 的 数据 帧 后 ， 将 帧 中 的 802.1p 优先 级 修改 为 用 户 
配置 的 802.1p 优先 级 值 

缺 省 情况 下 ， 交 换 机 端口 下 没有 配置 对 数据 帧 中 携带 的 VLAN 
标签 进行 映射 操作 ， 可 用 undo port vlan-mapping { all | vlan 
vian-id1 [to yian-id2 ] [ map-vlan vian-id3 ]} 命 令 取消 对 数据 帧 
中 携带 的 指定 或 所 有 单 层 VLAN 标签 进行 映射 操作 












区 
注意 





事先 已 创建 好 ) ， 然 后 在 对 应 的 交换 机 端口 上 启用 


( 续 表 ) 


当 映 射 前 的 源 VLAN 的 取 值 为 vlan-idl to vlan-id2 指 定 的 一 个 范围 YLAN 时 ， 则 该 交换 机 端口 需要 以 带 标 
签 的 方式 加 入 这 些 源 VLAN， 并 且 参 数 vlan-id3 所 对 应 映射 后 的 VLAN 不 允许 配置 成 VYLANIF 接 口 。 如 果 同 时 
配置 了 VLAN 了 映射 和 DHCP 功 能 ， 则 端口 需要 以 带 标签 的 方式 加 入 映射 前 的 这 些 VLAN， 因 为 DHCP 服 务 器 
要 依据 映射 前 的 VLANIF 接 口 来 为 不 同 VLAN 分 配 不 同 的 IP 地 址 。 

【示例 】 将 GE0/0/1 端 口 接收 到 的 VLAN ID 为 100 的 数据 帧 映射 为 YLAN ID 为 10 的 数据 帧 ， 然 后 进行 

转发 。 

<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet0/0/1 

[HUAWEI-GigabitEthernet0/0/1] port link-type trunk 

[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 

[HUAWEI-GigabitEthernet0/0/1] qinq vlan-translation enable 

[HUAWEI-GigabitEthernet0/0/1] port vlan-mapping vlan 100 map-vlan 10 







































































7.8.2 配置 基于 802.1p 优 先 级 的 1 to 1 的 VLAN 映 射 























配置 基于 802.1p 优 先 级 的 VLAN 了 映射 功能 ， 可 以 根据 进入 端口 的 数据 帧 的 802.1p 优 先 级 和 VLAN ID 进行 
灵活 的 映射 ， 优 先 保证 重要 用 户 的 正常 通信 。 但 基于 802.1p 优 先 级 的 VLAN 映 射 功能 仅 在 S7700、S9300 和 
S9700 系 列 E 系 列 和 F 系 列 单 板 支 持 。 
基于 802.1p 优 先 级 的 1to 1 的 VLAN 了 映射 是 在 入 端口 上 配置 的 ， 但 如 果 在 入 端口 上 创建 了 Diffserv 域 并 配 
置 优先 级 映射 关系 ， 此 时 内 部 优先 级 和 802.1p 优 先 级 可 能 不 一 样 ， 这 时 还 需要 在 出 端口 上 配置 YLAN 优 先 级 
映射 。 这 与 7.5.3 节 介绍 的 基于 802.1p 优 先 级 的 灵活 QinQ 功 能 类 似 。 

在 入 端口 上 配置 基于 802.1p 优 先 级 的 VLAN 映 射 的 具体 配置 步骤 如 表 7-18 所 示 。 注 意 ， 这 里 面包 括 单独 
采用 基于 802.1p 优 先 级 映射 实现 方式 ， 和 同时 采用 基于 VLAN+802.1p 优 先 级 映射 实现 方式 下 的 1 to 1 的 
VLAN 了 映射 配置 ， 根 据 实际 需要 选择 一 种 实现 方式 即 可 。 















































































































































































































































表 7-18 在 入 端口 上 配置 基于 802.1p 优 先 级 的 VLAN 了 映射 的 配置 步骤 



































System-view 
1 例如 : <HUAWEI> 进入 系统 视图 
System-view 





( 续 表 ) 





Interface interface-type 
interface-number 

例如 : [HUAWEJinterface 
gigabitethernet 0/0/1 


键入 要 配置 1 to 1 VLAN 映射 的 交换 机 端口 ， 进 入 接口 视图 





port vlan-mapping 8021p 
$021p-value map-vian 
van-id [ remark-8021p 
$021p-value2 ] 

例如 : [HUAWEI- 
GigabitEthernetO/O/1]port 
ylan-mapping 8021p 5 
map-vlan 200 


port vlan-mapping vlan 
vlan-id! [ to vlan-id2 ] 
8021p 8021p-valuel 

[to 8021p-value2 ] 
map-vlan vlan-id3 
[remark-8021p 
8021p-value3 ] 

例如 : [HUAWEI- 
GigabitEthernetO/0/1]port 
ylan-mapping vlan 

100 8021p $5 map-vian 
200 remark-8021p 1 








(二 选 一 ) 配 置 以 上 入 端口 基于 802.1p 优先 级 的 VLAN 吧 射 功能 。 


命令 中 的 参数 说 明 如 下 。 

(1) 8027p-value1: 指定 外 层 VLAN 的 802.1p 优先 级 ， 取 值 范围 
为 0 一 7 的 整数 ， 值 越 大 优先 级 越 高 

(2) Wan-id: 指定 映射 后 的 VLAN ID， 了 到 值 范围 为 1 一 4 094 的 整数 


修改 后 帧 的 802.1p 优先 级 。 通 过 本 可 选 参数 的 设置 ， : 现 站 

在 接收 到 带 VLAN 标签 的 数据 帧 后 ， 将 帧 中 的 802.1p 优先 级 修 
改 为 用 户 配置 的 802.1p 优先 级 值 

缺 省 情况 下 , 交换 机 端口 下 没有 配置 基于 802.1p 优先 级 的 VLAN 
映射 功能 ， 可 用 undo port vlan-mapping 8021p 8027p-vaiue7 
[ map-vlan vian-id ] 命令 取消 对 应 交换 机 端口 的 基于 802.1p 优 先 
级 的 VLAN 映射 功能 

(二 选 一 ) 配置 以 上 入 端口 基于 VLAN+802.1p 优先 级 的 VLAN 
映射 功能 。 命 令 中 的 参数 说 明 如 下 。 

(1) vian-id1 [to vian-id2 ]: 指定 要 映射 的 源 VLAN ID 的 取 值 范 
围 ， 其 中 wlan-idl 表示 起 始 VLAN ID， 可 选 参数 to vlan-id2 表示 
结束 VLAN ID， 取 值 范围 均 为 1 一 4094 的 整数 。 同 一 个 交换 机 
端口 推荐 最 多 指定 16 个 映射 前 VLAN 

(2) 8021p-valuel [to 8021p-value2 ]: 指定 要 映射 的 外 层 VLAN 的 
802.1p 优先 级 的 取 值 范围 ， 其 中 8021p-valuel 表示 802.1p 优先 级 
取 值 范围 的 下 限 ， 取 值 范围 为 0 一 7 的 整数 ， 值 越 大 优先 级 越 高 
to 8021p-value2 表示 802.1p 优先 级 到 值 范围 的 上 限 ， 取 值 范围 为 
1 一 7 的 整数 ，8027P-value2 的 取 值 必须 大 于 8021p-valuel 的 取 值 
(3) wlan-id3: 指定 映射 后 的 VLAN ID， 取 值 范围 为 1 一 4 094 的 整数 
(4) 8021p-value3: 可 选 参数 ， 指 定 映射 后 的 VLAN 的 802.1p 优 
先 级 ， 取 值 范围 为 0 一 7 的 粮 数 ， 值 越 大 优先 级 越 高 ， 通 过 本 可 选 
参数 的 设置 ， 可 实现 端口 在 接收 到 带 VLAN 标签 的 数据 帧 后 ， 将 
帧 中 的 802.1p 优先 级 修改 为 用 户 配 置 的 802.1p 优先 级 值 

缺 省 情况 下 ,交换 机 端口 下 没有 配置 对 数据 帧 中 携带 的 VLAN 标 
等 进行 映 里 操作, 可 用 undo port vlan-mapping vlan vlan-idj [ to 
vian-id2 ] [ 8021p $021p-valuel [ to 8021p-value2 ] ] [ map-vian 
vlan-id3 ] 命 令 取消 对 应 交换 机 端口 基于 VLAN+802.1p 优先 级 的 
VLAN 映射 功能 





【示例 1】 将 进入 GE1/0/1 端 口 的 802.1p 优 先 级 为 5 的 帧 映射 为 VYLAN ID 为 200 的 帧 。 
<HUAWEI>system-view 


[HUAWEI]| interface gigabitethernet1/0/1 


[HUAWEI-GigabitEthernet1/0/1] port vlan-mapping 8021p 5 map-vlan 200 
【示例 2】 将 进入 GE1/0/1 端 口 的 VLAN ID 为 100、802.1p 优 先 级 为 5 的 帧 映射 为 VLAN ID 为 200 的 帧 ， 

并 修改 映射 后 的 802.1p 优 先 级 为 1， 再 进行 转发 。 
<HUAWEI>system-view 


[HUAWEI]| interface gigabitethernet1/0/1 

[HUAWEI-GigabitEthernet1/0/1] port vlan-mapping vlan 100 8021p 5 map-vlan 200 remark-8021p 1 

如 果 在 入 端口 创建 了 DiffServ《〈 差 分 服务 ) 域 ， 并 配置 了 优先 级 映射 关系 ， 此 时 数 据 帧 中 的 内 部 优先 
级 和 802.1p 优先 级 可 能 不 一 样 ， 此 时 除了 要 进行 表 7-20 所 示 的 配置 外 ， 还 需 在 出 端口 上 配置 优先 级 映射 关 
系 。 有 具体 配置 步骤 参见 表 7-16。 























7.8.3 而 J1 to 1HJVLAN 了 映 乐 


这 里 所 说 的 “ 流 策略 ”是 指 将 流 分 类 和 流行 为 关联 后 形成 的 完整 的 QoS 策 略 。QoS 策 略 的 配置 包括 以 下 4 



































个 基本 任务 : (1) 定义 流 分 类 ; (2) 定义 流行 为 ; 〈3) 创建 QoS 策略 ， 将 流 分 类 与 某 种 流行 为 进行 关 
联 ， (4) 在 端口 上 应 用 QoS 策略 。 
根据 以 上 4 个 QoS 策略 的 基本 配置 任务 可 以 得 出 本 节 的 VLAN 有 映射 基本 配置 任务 如 下 。 























(1) 根据 数据 帧 中 的 VLAN ID 进行 流 分 类 。 
(2) 定义 基于 VLAN ID 的 流行 为 。 








(3) 创建 QoS 策略 ， 将 以 上 定义 的 流 分 类 与 流行 为 进行 关联 ， 对 符合 流 分 类 的 数据 帧 进行 相应 的 处 理 
( 重 标记 数据 帧 的 VLAN ID 值 ) ， 从 而 实现 VLAN 了 映射 功能 。 
(4) 在 交换 机 端口 上 应 用 以 上 QoS 策略 ， 以 名 
基于 流 策略 的 1to 1 的 VLAN 策 略 可 以 在 端口 
在 端口 的 出 方向 上 应 用 ， 对 发 出 的 帧 进行 VLAN 标 













































































| 对 业务 类 型 提供 差别 服务 。 
的 入 方向 上 应 ) 
签 


























MA 























示 。 它 与 7.5.4 节 介绍 的 基于 流 策略 的 灵活 QinQ 配 置 步 骤 类 似 ， 但 

















表 7-19 基于 流 策略 的 1 to 1 的 VLAN 映 射 的 配置 步骤 


System-view 
例如 : <HUAWEI> 
system-view 





进入 系统 视图 





j， 对 接收 的 帧 进行 VLAN 标 签 
换 。 但 两 种 配置 方法 类 似 ， 具 体 配 置 步 又 如 表 7-19 所 
灵活 QinQ 仅 可 在 入 方向 上 应 用 。 




















traffic classifier 
classifier-name 

例如 : [HUAWEI]traffic 
classifier cl 


创建 流 分 类 并 进入 流 分 类 视图 。 其 他 说 明 参 见 表 
7-15 中 的 第 2 步 





定义 流 分 类 


if-match vlan-id start- 
vian-id [ to end-vian-id ] 
如 
AWEI-classifier- 
if-match vlan-id 2 


]: [HUAWEI- 
Sifier-cl]quit 


用 来 在 流 分 类 中 创建 基于 VLAN ID 进行 分 类 的 匹 
配 规则 。 其 他 说 明 参 见 表 7-15 中 的 第 3 步 


退出 流 分 类 视图 ， 返 回 系统 视图 





affic behavior 
behavior-name 

例如 : [HUAWEI traffic 
avior bl 


创建 流行 为 并 进入 流行 为 视图 。 其 他 说 明 参 见 表 
7-15 中 的 第 5 步 





定义 流行 为 








remark vlan-id vian-id 
例如 : [HUAWEI- 
behaviorb1]jremark 
vlan-id 200 








quit 
例如 : [HUAWEI- 
behaviorb1] quit 


配置 流行 为 ， 在 流行 为 中 创建 重 标记 VLAN 数据 帧 
的 外 层 VLAN 标签 值 。 参 数 wan- 这 用 来 指定 重 标记 
数据 帧 的 VLAN ID 值 (也 即 映射 后 的 VLAN ID)， 
取 值 范围 为 1 一 4 094 的 整数 

缺 省 情况 下 ， 流 行为 中 没有 重 标记 VLAN 数据 帧 的 标签 
值 的 动作 ， 可 用 undo remark vlan-id 命令 恢复 缺 省 情况 





退出 流行 为 视图 ， 返 回 系统 视图 




















换 ， 或 者 


( 续 表 ) 














配置 任务 | 步骤 令 说 明 
traffic policy 
8 policv-name 创建 流 策略 并 进入 流 策略 视图 。 其 他 说 明 参 见 表 
例如 : [HUAWEI] traffic | 7-15 中 的 第 8 步 
policy pl 
创建 QoS Classifier classifier-name 
人 Et name | 将 以 上 定义 的 流 分 类 与 指定 的 流行 为 进行 绑 定 ， 组 
i > 流 策略 。 其 他 说 明 参 见 表 7- 4 第 9 步 
流行 为 tathopolioy.p I jobsdilibr 成 流 策略 。 其 他 说 明 参 见 表 7-15 中 的 第 9 步 
cl behavior bl 
quit 
10 | 例如 ; [HUAWEI- 退出 流 策略 视图 ， 返 回 系 统 视图 
dsdomain-ds1] quit 
Interface interface-type 
interface-number 亚 应 用 沪 第 罗 的 交换 机 浊 六 入 接 ] 要 
11 [HUAWEI interface 键入 要 应 用 流 策略 的 交换 机 端口 ， 进 入 接口 视图 
gigabitethernet 1/0/1 
port link-type hybrid 
例如 [HUAWEI- DY 3 
2 } 蔷 以 上 端口 的 类 型 
1 GigabitEthemet1/0/1] 配置 以 上 端口 的 类 型 为 Hybrid 
port link-type hybrid 
port hybrid Untagged 
vlan { { vian-idl [to 
a vian-id2 ] }&<1-10>|all) | 把 以 上 Hybrid 端口 以 不 带 标签 方式 加 入 到 映射 后 的 
在 交换 机 | 13 | 例如 ，[HUAWEF 外 层 VLAN 中 ， 具 体 命令 参数 本 第 6 章 已 有 详细 介 
端口 的 入 出 GigabitEthernet1/0/1] 绍 ， 不 再 效 述 
方向 上 应 用 port hybrid Untagged 
QoS 策略 vlan 2 3 
在 端口 的 入 或 出 方向 应 用 流 策略 。 命 令 中 的 参数 和 
选项 说 明 如 下 。 
Policy-name: 指定 要 应 用 的 QoS 流 策略 名 
traffic-policey policy-name | (1) inbound: 二 选 一 选项 ,指定 在 端口 的 入 方向 上 
{ inbound | outbound } 应 用 指定 的 流 策略 
14 | 例如 ; [HUAWEI- ea 





















GigabitEthernet1/0/1] 
traffic-policy pl inbound 














(2) outbound: 二 选 一 选项 ， 
上 应 用 指定 的 流 策略 

缺 省 情况 下 ， 交 换 机 端口 上 没有 应 用 任何 流 策略 ， 
可 用 undo traffic-policy [ policy-name ] { inbound | 
outbound } 命 令 取消 在 端口 上 应 用 流 策略 


指定 在 端口 的 出 方向 








| 


【示例 】 在 新 创建 的 流 策略 pl 中 ， 配 置 流 分 类 cl 关联 流行 为 bl1， 并 在 GE1/0/1 端 口 的 入 方向 上 应 用 该 流 


策略 。 


<HUAWEI>system-view 
[HUAWEI] traffic policy pl1 
[HUAWEI-trafficpolicy-p1] classifier cl behavior bl 


[HUAWEI-trafficpolicy-p1] quit 














[HUAWEI]| interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1|] traffic-policy pl inbound 


7.8.4 基于 VLAN 的 1 to 1VLAN 了 映射 配置 示例 

















， 由 于 各 小 区 网 络 管理 











本 示例 拓扑 结构 如 图 7-23 所 示 。 不 同 的 小 


者 事先 并 没有 协商 好 ， 




















区 拥有 相同 的 业务 ， 如 上 网 、IPTV、VoIP 等 业务 。 为 了 便于 








管理 ， 各 个 小 区 的 网 络 管理 者 将 不 同 的 业务 划分 到 不 同 的 VLAN 中 ， 相 同 的 业务 划分 到 同一 个 VLAN 中 。 但 
是 目前 存在 不 同 的 小 区 中 相同 的 业务 所 属 的 VLAN 不 相同 ， 但 




















又 需要 实现 相同 业务 、 


不 同 VLAN 间 的 | 














j 户 相互 通信 。 





























如 小 区 1 和 小 区 2 中 拥有 相同 的 业务 ， 但 是 属于 不 同 的 
































VLAN ( 即 VLAN 5 和 VLAN 6， 但 这 两 个 YLAN 中 的 用 户 计算 机 同 处 一 个 卫 网 段 中 ) 。 现 需要 通过 VLAN 映 
射 功能 实现 小 区 1 和 小 区 2 中 的 用 户 可 以 直接 互通 。 





















PE1 PE2 







GE1/0/1 GE1/0/1 















GE1/0/3 
GE1/0/2 


GE103 
GELMOL és GE1/0/2 





CE1 
GELO/1 旋 : 


VLAN6 


站 和 BT ; 
1 SE “3 

: 小 区 1 所 小 区 2 

172.16.0.2/16 从 172.16.0.6/16 
: 172.16.0.1/16 172.16.0.3/16; :172.16.0.5/16 172.16.0.7/16 : 

















图 7-23 基于 VLAN 的 1to 1 的 VLAN 映 射 配置 示例 拓扑 结构 




















1. 配置 思路 分 析 
根据 本 示例 的 实际 网 络 环境 和 应 用 需求 ， 可 以 得 出 如 下 基本 配置 思路 。 
(1) 将 连接 小 区 1 中 某 业 务 用 户 连 接 的 交换 机 端口 以 基于 端口 划分 方式 加 入 到 VLAN 6 中 ， 将 连接 小 区 































































































2 中 相同 业务 用 户 连 接 的 交换 机 端口 以 基于 端口 划分 方式 加 入 VLAN 5 中 ， 用 来 区 分 不 同 的 用 户 。 这 方面 的 





配置 在 此 不 作 介绍 ， 具 体 可 参见 本 书 第 6 章 6.2 节 。 















































(2) 在 运营 商 网 络 的 边缘 设备 PE1 和 PE2 的 GE1/0/1 端 口上 配置 VLAN 映 射 功能 ， 将 两 个 小 区 中 的 用 户 





















































VLAN ID 映 射 为 运营 商 提 供 的 同一 个 VLAN ID (VLAN 10) ， 以 实现 原来 两 小 区 中 不 同 VLAN 用 户 间 的 直 
接 互通 。 











2. 配置 方法 

在 此 仅 介绍 以 上 第 二 项 配置 任务 ， 即 直接 介绍 VLAN 映 射 的 配置 方法 。 有 具体 配置 步骤 如 下 。 
PE1 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname PE1 

[PE1] vlan 10 

[PE1-vlan10] quit 

[PE1] interfacegigabitethernet 1/0/1 
[PE1-GigabitEthernet1/0/1] port link-type trunk 
[PE1-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 
























































[PE1-GigabitEthernet1/0/1] port vlan-mapping vlan 6 map-vlan 10 
[PE1-GigabitEthernet1/0/1] guit 

PE2 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname PE2 

[PE2] vlan 10 

[PE2-vlan10] quit 

[PE2] interfacegigabitethernet1/0/1 
[PE2-GigabitEthernet1/0/1] port link-type trunk 
[PE2-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 























[PE2-GigabitEthernet1/0/1] port vlan-mapping vlan 5 map-vlan 10 


[PE2-GigabitEthernet1/0/1] quit 





配置 好 后 ， 小 区 1 中 的 用 户 和 小 区 2 中 的 用 户 可 以 互相 Ping 得 通 




















7.9 配置 2 to 1 的 VLAN 了 映射 





当 网 络 边 缘 设 备 收 到 的 数据 帧 带 有 两 层 VLAN 标 签 时 ， 内 层 标 签 代表 月 
可 在 网 络 边 缘 设备 上 配置 2 to 1 的 VLAN 映 射 功能 。 将 代表 不 同业 务 的 外 层 
商 网 络 ， 实 现 不 同 | 





























分 不 同 的 业务 进入 运营 商 网 络 ， 
VLAN 标 签 




















映射 为 用 户 指 定 的 VLAN 标 签 ， 内 层 标 签 作为 数据 透 传 到 运营 


， 表 明 配 置 成 功 。 




















有 户 ， 外 层 标 签 代表 业务 。 为 了 


[x| 





























信 。 即 这 里 的 “2 to 1” 的 含义 是 对 帧 中 原来 两 层 VLAN 标 签 中 的 外 层 标签 进行 蔡 换 。 





本 节 介 绍 的 2 to 1 的 VLAN 了 映射 与 1to 1 的 VLAN 了 映射 的 配置 总 体 上 差不多 ， 只 是 
别 。 而 且 ， 配 置 2 to 1 的 VLAN 映 射 功能 的 端 
S 系 列 交换 机 中 的 单 板 也 必须 以 带 标签 的 方式 加 入 映射 后 的 VLAN。 























VLAN， 


7.9.1 配置 基于 VLAN 的 2to 1 的 VLAN 了 映射 



































换 机 的 对 应 端口 以 在 





上 启用 QinQ 协议 ， 











基于 VLAN 的 2to 1 的 VLAN 了 映射 功能 可 实现 端口 在 接收 到 带 有 VLAN 标 答 
VLAN ID 进行 外 层 标签 映射 操作 ， 将 帧 中 的 外 层 标 签 映射 为 指 


帧 中 生成 双 层 VLAN 标 签 。 























基于 VLAN 的 2 to 1 的 VLAN 映 射 的 具体 配置 方法 很 简单 ， 











VLAN 了 映射 配置 步骤 差不多 ) 。 






























































表 7-20 基于 VLAN 的 2 to 1 的 VLAN 了 映射 的 配置 步骤 





命令 














System-view 
例如 : <HUAWEI> 
System-view 


interface-number 


iD 


gigabitethernet 0/0/1 


Interface interface-type 


例如 : [HUAWEI]interface 


进入 系统 视图 





键入 要 配置 1 to 1 VLAN 映射 的 交换 机 端口 ， 进 入 接口 视图 














例如 :， [HUAWEI- 





dinq vlan-translation enable 


GigabitEthernet0/0/1] qinq 
vlan-translation enable 





使 能 端口 的 VLAN 转换 功能 。 只 有 在 端口 使 能 了 VLAN 
转换 功能 后 ， 才 可 以 在 端口 上 配置 VLAN 映射 和 灵活 
QinQ 功能 。 本 命令 仅 S2700、S3700、S5700 和 S6700 系 
列 需要 配置 

缺 省 情况 下 ， 没 有 使 能 端口 的 VLAN 转换 功能 ， 可 用 undo 
qinq vlan-translation enable 命令 取消 端口 的 VLAN 转换 功能 








C 


LL 体 如 表 7-20 所 示 (与 7.8.1 节 介 


j 户 之 间 的 通 


些 主要 命令 有 所 区 
口 类 型 也 必须 为 Trunk 或 Hybrid ， 且 端口 必须 加 入 映射 后 的 








的 帧 后 ， 依 据 帧 中 的 内 层 


定 的 标签 。 但 要 注意 ， 一 定 要 先 在 接 入 层 交 





绍 的 1to 1 的 


( 续 表 ) 


说 明 





ER 
注意 

















port vlan-mapping vlan 
vlan-idl inner-vlan vlan-id2 
[to vian-id3 ] map-vlan 
Vian-id4 [ remark-8021p 


$8021p-value ] 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] port 
vlan-mapping vlan 10 
inner-vlan 20 map-vlan 100 





替换 帧 中 的 双 层 VLAN 标签 中 的 外 层 标签 即 可 。 执行 本 命令 
可 实现 端口 在 接收 到 帧 后 ， 依 据 帧 中 的 内 层 标签 VLAN ID 
进行 外 层 标签 的 ! 作 ， 将 帧 中 的 外 层 标签 映射 为 指定 前 
标签 。 命 令 中 的 名 说 明 如 下 。 
(1) vlan-id1: 指 风 射 的 源 外 层 标签 的 VLAN ID， 取 值 
范围 是 1 一 4 094 的 整数 
(2) vian-id2 [ to vlan-id3 ]: 指定 要 映射 的 源 内 层 标签 的 
VLAN ID 范围 , 其 中 wlan-id2 用 来 指定 端口 接收 到 的 帧 携带 
的 内 层 标 签 的 VLAN ID 范围 的 起 始 值 ， 可 选 参数 wan-idj 
来 指定 端口 接收 到 的 帧 携带 的 内 层 标签 的 VLAN ID 范 转 
的 结束 值 ， 取 值 范围 均 为 1 一 4 094 的 整数 

(3) vlan-id4: 指定 帧 中 映射 后 的 外 层 标签 的 VLAN ID， 
直 范 围 是 1 一 4 094 的 整数 

(4) 8021p-value: 可 选 参数 ， 指 定 修改 映射 后 的 VALN 标签 
的 802.1p 优先 级 ， 取 值 范围 为 0 一 7， 值 越 大 优先 级 越 高 。 

选择 此 可 选 参数 可 将 帧 中 的 802.1p 优先 级 修改 为 用 户 配置 
条 802.1p 优先 级 值 

缺 省 情况 下 ， 交 换 机 端口 下 没有 配置 对 数据 帧 中 携带 的 
VLAN 标签 进行 映射 操作 ， 可 用 undo port vlan-mapping 
{ all | vlan vian-idl inner-vlan vlan-id2 [ to vlan-id3 ] 
map-vlan vlan-id4 ] } 取 消 蔡 换 带 有 指定 双 层 Tag 的 帧 的 外 
层 标签 VLAN 映射 操作 





























如 果 在 交换 机 上 同时 配置 了 VLAN 了 映射 和 DHCP 服 务 器 功能 ， 接 口 还 需要 以 带 标 签 的 方式 加 入 映射 前 
VLAN。 当 数据 帧 同时 匹配 所 配置 的 单 、 双 层 VLAN 映 射 时 ， 以 精确 匹配 生效 ， 即 双 层 VLAN 映 射 生效 。 






































【示例 】 配 置 2 to 1 的 VLAN 了 映射 功能 ， 将 内 层 VLAN 标 签 为 20 的 帧 中 的 外 层 标签 10 映 射 为 外 层 标签 
100， 然 后 进行 转发 。 
<HUAWEI>system-view 

[HUAWEI] interface gigabitethernet0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk 

[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[HUAWEI-GigabitEthernet0/0/1] qinq vlan-translation enable 
[HUAWEI-GigabitEthernet0/0/1] port vlan-mapping vlan 10 inner-vlan 20 map-vlan 100 





7.9.2 配置 基于 流 策略 的 2 to 1 的 VLAN 了 映射 





与 7.8 节 介绍 的 1to 1 的 VLAN 了 映射 





类 ; 






























































的 配置 方法 和 配置 命令 者 


(2) 定义 流行 为 ; 
































( 重 标记 数据 帧 的 VLAN ID 值 ) ， 从 而 实现 VLAN 映 射 功能 。 

















配置 ， 具 体 步 骤 如 表 7-21 所 示 。 





















































表 7-21 基于 流 策略 的 2 to 1 的 VLAN 映 射 的 配置 步骤 





配置 一 样 ，2 to 1 的 VLAN 了 映射 也 可 以 通过 流 和 集 略 进行 。 用 户 可 以 根 
据 数据 帧 中 外 层 标签 的 YLAN ID 对 流 进行 分 类 ， 然 后 将 流 分 类 与 所 定义 的 某 种 流行 为 关联 ， 对 符合 流 分 类 
的 数据 帧 进行 相应 的 处 到 
在 具体 配置 上 ， 基 于 流 策略 的 2 to 1 的 VLAN 了 映射 
了 基本 一 样 。 所 配置 的 基本 任务 也 就 是 QoS 策略 的 四 大 配置 任务 : 
(3) 创建 QoS 策略 ， 将 流 分 类 与 某 种 流行 为 进行 关联 ; 
略 。 可 在 交换 机 端口 的 入 方向 〈 应 用 于 接收 的 帧 ) 或 出 方向 《应 用 于 发 出 的 帧 ) 上 进行 2to 1 的 VLAN 了 映射 


也 与 7.4.3 节 介绍 的 基于 流 策略 的 1to 1 的 VLAN 映 射 


(1) 定义 流 分 


(4) 在 端口 上 应 用 QoS 策 


定义 流 分 类 


system-view 
例如 : < HUAWEI> 
system-view 


进入 系统 视图 





traffic classifier 
classifier-name operator 
and 

例如 : [HUAWEI]traffic 
classifier cl 


创建 流 分 类 并 进入 流 分 类 视图 ,参数 classifier- 
name 用 来 指定 流 分 类 名 称 ， 并 指定 流 分 类 下 
各 规则 之 间 是 逻辑 “与 ”的 关系 。 指 定 该 逻辑 
关系 后 ， 当 流 分 类 中 有 ACL 规则 时 ， 数 据 帧 
必须 匹配 其 中 一 条 ACL 规则 以 及 所 有 非 ACL 
规则 才 属 于 该 类 ， 当 流 分 类 中 没有 ACL 规则 
时 ， 则 数据 帧 必须 匹配 所 有 非 ACL 规则 才 属 
于 该 类 

缺 省 情况 下 ， 系 统 没有 定义 任何 流 分 类 ， 可 用 
traffic classifier classifier-name 命令 删除 指定 的 
流 分 类 





if-match vlan-id vlan-id 
例如 : [HUAWEI- 
classifier-c1]if-match 
vlan-id 2 


配置 匹配 数据 帧 的 规则 ， 即 指定 数据 帧 的 源 外 层 
VLAN ID， 参 数 vlan-id 用 来 指定 匹配 的 源 外 层 
VLAN ID， 取 值 范围 为 1 一 4 094 的 整数 

缺 省 情况 下 ,没有 基于 VLAN ID 分 类 的 匹配 规则 ， 
可 用 undo if-mateh vlan-id vlan-id7 删除 指定 的 匹 
配 规 则 





if-match cvlan-id cv/lan-id 
例如 : [HUAWEI- 
classifier-c1] if-match 
cvlan-id 20 


quit 
例如 : [HUAWEI- 
classifier-cl ]quit 


配置 匹配 数据 帧 的 规则 ， 即 指定 数据 帧 的 源 内 层 
VLAN ID。 参 数 cvlan-id 用 来 指定 匹配 的 源 内 层 
VLAN ID， 取 值 范 围 为 1 一 4 094 的 整数 
缺 省 情况 下 ,， 流 分 类 中 没有 基于 QinQ 数据 帧 内 外 
两 层 VLAN ID 进行 分 类 的 匹配 规则 ， 可 用 undo 
计 match cvlan-id wan-id2 命令 在 流 分 类 中 删除 指 
定 的 匹配 规则 


同 流 分 类 视图 ， 返 回 系统 视图 





定义 流行 为 


创建 QoS 
策略 ， 关 联 
流 分 类 与 
流行 为 





traffic behavior 
behavior-name 

例如 : [HUAWEI] traffic 
behavior bl 

remark vlan-id v/an-id 
例如 : [HUAWEI- 
behavior-bl ]remark 
ylan-id 200 

quit 

例如 : [HUAWEI- 
behavior-b1] quit 


traffic policy policy-name 
例如 : [HUAWEI] traffic 
policy pl 





创建 流行 为 并 进入 流行 为 视图 。 其 他 说 明 参见 表 
7-15 的 第 5 步 


配置 流行 为 , 在 流行 为 中 创建 重 标记 帧 中 的 外 层 标 
签 VLAN ID。 其 他 说 明 参 见 表 7-19 中 的 第 6 步 


退出 流行 为 视图 ， 返 回 系统 视图 


创建 流 策略 并 进入 流 策略 视图 。 其 他 说 明 参 见 表 
7-15 的 第 8 步 





命令 


说 明 





classifier classifier-name 
behavior behavior-name 
例如 : [HUAWEI- 
trafficpolicy-pl]elassifier 
cl behavior bl 


将 以 上 定义 的 流 分 类 与 指定 的 流行 为 进行 绑 定 , 组 
成 流 策略 。 其 他 说 明 参 见 表 7-15 的 第 9 步 





quit 
例如 : [HUAWEI- 
dsdomain-ds1] quit 


退出 流 策略 视图 ， 返 回 系统 视图 





interface interface-type 
interface-number 
[HUAWEI] interface 
gigabitethernet 1/0/1 


键入 要 应 用 流 策略 的 交换 机 端口 ， 进 入 接口 视图 





port link-type hybrid 
例如 : [HUAWEI- 

GigabitEthernet1/0/1] 
port link-type hybrid 


配置 以 上 端口 的 类 型 为 Hybrid 





port hybrid Untagged 
vlan { { vian-idi [to 
vlan-id?2 ] }&<1-10> |all } 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] 
port hybrid Untagged 
vlan 2 3 


把 以 上 Hybrid 端口 以 不 带 标签 方式 加 入 到 映射 后 
的 外 层 VLAN 中 ， 有 具体 命令 参数 本 第 6 章 已 有 详 
细 介 绍 ， 不 再 歼 述 





配置 任务 | 步骤 
创建 QoS 10 
策略 ， 关 联 
流 分 类 与 
流行 为 
11 
12 
13 
在 交换 机 
端口 的 入 或 
出 方向 上 应 
用 QoS 策略 | 14 
15 








traffic-policy policy-name 
{ inbound | outbound } 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] 
traffic-policy pl inbound 














7.9.3 基于 VLAN 的 2 to 1 的 VLAN 映 射 配 置 示例 




















本 示例 拓扑 结构 如 图 7-24 所 示 




















配置 思路 分 析 











(1) 将 连接 用 户 的 交换 机 端口 











， 用 户 通过 家 庭 网 天 、 楼 道 交 换 机 和 小 





在 端口 的 入 或 出 方向 应 用 流 策略 。 其 他 说 明 参 见 表 
7-19 的 第 14 步 








区 








节省 运营 商 网 络 VLAN 资源 ， 及 实现 不 同 用 户 相同 业务 在 传输 过 程 中 相互 隔 
QinQ 功 能 ， 在 小 区 交换 机 上 部 署 VLAN 了 映射 功能 。 





(2) 在 楼 ; 


换 机 接 入 汇聚 层 网 络 。 为 了 





交 
离 





根据 本 示例 的 要 求 ， 可 采用 如 下 的 思路 配置 2 to 1 的 VLAN 映 射 ， 以 实现 VLAN 资 源 节 约 。 


分 别 划分 到 指定 YLAN 中 ， 以 区 分 不 同 的 业务 。 


道 交 换 机 上 部 署 QinQ 功 能 ， 在 帧 中 实现 双 层 VLAN 标 签 ， 以 区 分 用 户 、 业 务 。 


(3) 在 小 区 交换 机 上 部 署 YLAN 了 映射 功能 ， 节 约 VLAN 资 源 。 





2. 具体 配置 步 又 
S1 上 的 配置 : 将 S1 的 下 行 






































口 划分 到 指定 的 业务 VLAN 中 。 


， 可 以 在 楼 道 交 换 机 上 部 署 
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图 7-24 基于 VLAN 的 2 to 1 的 VLAN 映 射 配置 示例 的 拓扑 结构 




















<HUAWEI>system-view 

[HUAWEI] sysname S1 

[S1] vlan batch 2 to 4 

[S1] interfacegigabitethernet 1/0/1 
[S1-GigabitEthernet1/0/1] port link-type access 
[S1-GigabitEthernet1/0/1] port default vlan 2 
[S1-GigabitEthernet1/0/1] guit 

[S1] interface gigabitethernet 1/0/2 
[S1-GigabitEthernet1/0/2] port link-type access 
[S1-GigabitEthernet1/0/2] port default vlan 3 
[S1-GigabitEthernet1/0/2] guit 

[S1] interface gigabitethernet 1/0/3 
[S1-GigabitEthernet1/0/3] port link-type access 
[S1-GigabitEthernet1/0/3] port default vlan 4 
[S1-GigabitEthernet1/0/3] guit 

[S1] interface gigabitethernet 1/0/4 
[S1-GigabitEthernet1/0/4] port link-type trunk 
[S1-GigabitEthernet1/0/4] port trunk allow-pass vlan 2 to 4 
[S1-GigabitEthernet1/0/4] guit 

S2 上 的 配置 : 将 S2 的 下 行 口 划分 到 指定 的 业务 VYLAN' 
<HUAWEI>system-view 
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[HUAWEI] sysname S2 

[S2] vlan batch 2 to 4 

[S2] interface gigabitethernet 1/0/1 
[S2-GigabitEthernet1/0/1] port link-type access 
[S2-GigabitEthernet1/0/1] port default vlan 2 
[S2-GigabitEthernet1/0/1] guit 

[S21] interfacegigabitethernet 1/0/2 

[S2-GigabitEthernet1/0/2] port link-type access 
[S2-GigabitEthernet1/0/2] port default vlan 3 
[S2-GigabitEthernet1/0/2] guit 

[S2] interfacegigabitethernet 1/0/3 

[S2-GigabitEthernet1/0/3] port link-type access 
[S2-GigabitEthernet1/0/3] port default vlan 4 
[S2-GigabitEthernet1/0/3] guit 

[S2] interface gigabitethernet 1/0/4 
[S2-GigabitEthernet1/0/4] port link-type trunk 
[S2-GigabitEthernet1/0/4] port trunk allow-pass vlan 2 to 4 
[S2-GigabitEthernet1/0/4] guit 

S3 上 的 配置 : 部 署 QinQ 功能 ， 使 上 送 到 小 区 交换 机 的 数据 帧 带 有 双 层 VLAN 标 签 。 
<HUAWEI>system-view 

[HUAWEI] sysname S3 

[S3] vlan batch 201 401 

[S3] interface gigabitethernet 1/0/1 
[S3-GigabitEthernet1/0/1] port link-type trunk 
[S3-GigabitEthernet1/0/1] port trunk allow-pass vlan 201 401 
[S3-GigabitEthernet1/0/1] port vlan-stacking vlan 2 to 3 stack-vlan 201 



































[S3-GigabitEthernet1/0/1] port vlan-stacking vlan 4 stack-vlan 401 
[S3-GigabitEthernet1/0/1] guit 

[S3] interface gigabitethernet 1/0/2 

[S3-GigabitEthernet1/0/2] port link-type trunk 
[S3-GigabitEthernet1/0/2] port trunk allow-pass vlan 201 401 
[S3-GigabitEthernet1/0/2] guit 

S4 上 的 配置 : 部 署 QinQ 功能 ， 使 上 送 到 小 区 交换 机 的 数据 帧 带 有 双 层 VLAN 标 签 。 
<HUAWEI>system-view 

[HUAWEI] sysname S4 

[S4] vlan batch 201 401 

[S4] interface gigabitethernet 1/0/1 

[S4-GigabitEthernet1/0/1] port link-type trunk 
[S4-GigabitEthernet1/0/1] port trunk allow-pass vlan 201 401 
[S4-GigabitEthernet1/0/1] port vlan-stacking vlan 2 to 3 stack-vlan 201 



































[S4-GigabitEthernet1/0/1] port vlan-stacking vlan 4 stack-vlan 401 
[S4-GigabitEthernet1/0/1] guit 

[S4] interface gigabitethernet 1/0/2 

[S4-GigabitEthernet1/0/2] port link-type trunk 

[S4-GigabitEthernet1/0/2] port trunk allow-pass vlan 201 401 
[S4-GigabitEthernet1/0/2] guit 

S5 上 的 配置 : 配置 2 to 1 的 VLAN 了 映射 功能 。 

<HUAWEI>system-view 

[HUAWEI] sysname S5 

[S5] vlan batch 501 

[S5] interface gigabitethernet 1/0/1 

[S5-GigabitEthernet1/0/1] port link-type trunk 

[S5-GigabitEthernet1/0/1] port trunk allow-pass vlan 501 
[S5-GigabitEthernet1/0/1] port vlan-mapping vlan 201 to 401 map-vlan 501 
[S5-GigabitEthernet1/0/1] guit 

[S5] interface gigabitethernet 1/0/2 

[S5-GigabitEthernet1/0/2] port link-type trunk 

[S5-GigabitEthernet1/0/2] port trunk allow-pass vlan 501 
[S5-GigabitEthernet1/0/2] port vlan-mapping vlan 201 to 401 map-vlan 501 
[S5-GigabitEthernet1/0/2] guit 

[S5] interface gigabitethernet 1/0/3 

[S5-GigabitEthernet1/0/3] port link-type trunk 

[S5-GigabitEthernet1/0/3] port trunk allow-pass vlan 501 
[S5-GigabitEthernet1/0/3] guit 

完成 上 述 配置 后 ， 不 同 家 庭 用 户 可 以 正常 访问 网 络 ， 且 相同 业务 共用 一 个 VLAN 传 输 。 







































































7.10 配置 2 to 2 的 VLAN 映 射 






































2 to 2 的 VLAN 了 映射 功 能 可 将 数据 帧 中 携带 的 双 层 VLAN 标 签 映 射 为 公 网 的 双 层 VLAN 标 签 。 但 配置 2 to 
2 的 VLAN 了 映射 功能 的 端口 类 型 也 必须 为 Trunk 或 Hybrid， 且 端口 必须 加 入 映射 后 的 公 网 VLAN 中 。 









































7.10.1 配置 基于 VLAN 的 2 to 2 的 VLAN 映 身 




















基于 VLAN 的 2 to 2 的 VLAN 映 射 功 能 可 实现 端口 在 接收 到 带 有 VLAN 标 签 的 帧 后 ， 依 据 帧 中 的 双 
VLAN ID 进 行 映射 操作 ， 将 帧 中 的 双 层 VLAN ID 映 射 为 指定 的 公 网 双 层 VLAN ID。 

基于 VLAN 的 2 to 2 的 VLAN 映 射 的 具体 配置 方法 很 简单 ， 具 体 如 表 7-22 所 示 〈 与 7.9.1 节 介绍 的 2 to 1 的 
VLAN 映 射 配置 步 又 差不多 ) 。 
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表 7-22 基于 VLAN 的 2 to 2 的 VLAN 映 射 的 配置 步 双 





命令 


说 明 





system-view 
1 例如 : <HUAWEI> 
system-view 


进入 系统 视图 





interface interface-type 
interface-number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 














键入 要 配置 2 to 2 VLAN 映射 的 交换 机 端口 ， 进 入 接口 视图 





qing vlan-translation 
enable 

3 例如 : [HUAWEI- 
GigabitEthernet0/0/1] qinq 
vlan-translation enable 


使 能 端口 的 VLAN 转换 功能 。 只 有 在 端口 使 能 了 VLAN 转 
换 功 能 后 ， 才 可 以 在 端口 上 配置 VLAN 映射 和 灵活 QinQ 
功能 。 本 命令 仅 S2700、S3700、S5700 和 S6700 系列 需要 
配置 

缺 省 情况 下 , 没有 使 能 端口 的 VLAN 转换 功能 , 可 用 undo 
qinq vlan-translation enable 命令 取消 端口 的 VLAN 转换 
功能 

















port vlan-mapping vlan 
Vian-id] inner-vlan vian-id? 
map-vlan vian-id3 
map-inner-vlan van-id4 
[remark-8021p 8§021p-vaiue] 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] port 
vlan-mapping vlan 10 
inner-vlan 20 map-vlan 100 
map-inner-vlan 50 








命令 





同时 替换 帧 中 的 外 层 和 内 层 VLAN 标签 。 执 行 本 命令 可 实现 
端口 在 接收 到 带 有 VLAN 标签 的 帧 后 , 依据 帧 中 的 VLAN ID 
进行 映射 操作 , 将 帧 中 的 双 层 VLAN ID 映射 为 指定 的 双 层 公 
网 VLAN ID。 命令 中 的 各 参数 说 明 如 下 。 

(1) wlan-idq1: 指定 要 映射 的 源 外 层 标 签 的 VLAN ID， 取 值 范 
围 是 1 一 4 094 的 整数 

(2) vlan-id2: 指定 要 映射 的 源 内 层 标 签 的 VLAN ID， 取 值 范 
围 均 为 1 一 4 094 的 整数 

(3) Yiaz-id3: 指定 映射 后 的 外 层 标 签 的 VLAN ID， 取 值 范围 
是 1 一 4 094 的 整数 





说 明 





port vlan-mapping vlan 
vlan-id] inner-vlan vian-id2 
map-vlan vlan-id3 
map-inner-vlan v/an-id4 
[remark-8021p 8021p-value] 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] port 
vlan-mapping vlan 10 
inner-vlan 20 map-vlan 100 
map-inner-vlan 50 








(4) vlan-id4: 指定 映射 后 的 内 层 标签 的 VLAN ID， 取 值 范 围 
均 为 1 一 4 094 的 整数 

(5) 8021p-value: 可 选 参数 ， 指 定 修改 映射 后 的 VALN 标签 
的 802.1p 优先 级 ， 取 值 范围 为 0 一 7， 值 越 大 优先 级 越 高 。 选 
择 此 可 选 参 数 可 实现 端口 在 接收 到 带 标签 的 帧 后 ， 将 帧 中 的 
802.1p 优先 级 修改 为 用 户 配置 的 802.1p 优先 级 值 

缺 省 情况 下 ， 交 换 机 端口 下 没有 配置 对 数据 帧 中 携带 的 
VLAN 标签 进行 映射 操作 , 可 用 undo port vlan-mapping vlan 
Van-idl inner-vlan vian-id2 map-vlan vian-id3 map-inner-vlan 
vlan-id4 [ remark-8021p 8027p-value] 取 消 蔡 换 带 有 指定 双 层 
Tag 的 帧 的 双 层 标签 VLAN 映射 操作 








( 续 表 ) 


【示例 】 配 置 2 to 2 的 VLAN 映 射 功 能 ， 将 数据 帧 中 携带 的 两 层 标签 〈 外 层 标签 为 10、 内 层 标 签 为 20) 
映射 为 外 层 标签 为 100、 内 层 标 签 为 200， 再 进行 转发 。 


<HUAWEI>system-view 
[HUAWEI]| interface gigabitethernet1/0/1 


[HUAWEI-GigabitEthernet1/0/1] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
[HUAWEI-GigabitEthernet1/0/1] port vlan-mapping vlan 10 inner-vlan 20 map-vlan 100 map-inner-vlan 200 


7.10.2 配置 基于 流 策略 的 2 to 2 的 VLAN 了 映射 





映射 的 配置 方法 差不多 ， 只 是 多 了 一 个 内 层 标 签 的 重 标记 动作 。 有 具体 如 表 7-23 所 示 《 可 在 端口 


整体 来 说 ， 基 于 流 策略 的 2 to 2 的 VLAN 了 映射 的 配置 方法 与 7.9.2 节 介绍 的 基于 流 策略 的 2to 1 的 VLAN 




















者 上 











方向 上 应 用 ) 。 
































表 7-23 基于 流 策略 的 2 to 2 的 VLAN 映 射 的 配置 步 又 








的 入 方向 或 


定义 流 分 类 


System-view 
例如 : <HUAWEI> 
System-view 


进入 系统 视图 








traffic classifier classifier- 
name operator and 

例如 : [HUAWEI]traffic 
classifier cl 

if-match vlan-id vian-id 
例如 : [HUAWEI- 
classifier-c1 Jif-match vlan-id 2 


证 match cvlan-id cv/lan-id 
例如 : [HUAWEI- 
classifier-c1] if-match 
cvlan-id 20 


quit 
例如 : [HUAWEI- 
classifier-cl]quit 


创建 流 分 类 并 进入 类 视图 ， 并 指定 流 分 类 下 
各 规则 之 间 是 逻辑 “与 ”的 关系 。 其 他 说 明 
参见 表 7-21 的 第 2 步 


配置 匹配 数据 帧 的 规则 ， 即 指定 数据 帧 的 源 
外 层 VLAN ID。 其 他 说 明 参 见 表 7-21 中 的 第 
3 步 

配置 匹配 数据 帧 的 规则 ， 即 指定 数据 帧 的 源 内 
层 VLAN ID。 参数 cvlan-id 用 来 指定 匹配 的 内 
层 VLAN ID， 取 值 范围 均 为 1 一 4 094 的 整数 
缺 省 情况 下 , 流 分 类 中 没有 基于 QinQ 数据 帧 
内 外 两 层 VLAN ID 进行 分 类 的 匹配 规则 ， 可 
用 undo if-match cvlan-id vian-id2 命令 在 流 
分 类 中 删除 指定 的 匹配 规则 





退出 流 分 类 视图 ， 返 回 系统 视图 





定义 流行 为 


创建 QoS 
策略 ， 关 联 
流 分 类 与 
流行 为 


在 交换 机 
端口 入 或 出 
方向 上 应 用 
QoS 策略 


traffic behavior 
behavior-name 

例如 : [HUAWEI] traffic 
behavior bl 


创建 流行 为 并 进入 流行 为 视图 。 其 他 说 明 参 
见 表 7-15 的 第 5 步 





remark vlan-id vian-id 
例如 : [HUAWEI- 
behavior-bl ]remark 
vlan-id 200 


配置 流行 为 ， 在 流行 为 中 创建 重 标记 帧 中 的 
外 层 VLAN ID 标签 。 其 他 说 明 参 见 表 7-19 
中 的 第 6 步 





remark cvlan-id vlan-id 
例如 : [HUAWEI- 
behavior-b1] remark 
cvlan-id 100 


配置 流行 为 ， 在 流行 为 中 创建 重 标记 帧 中 的 
内 层 VLAN ID 标签 .参数 vlan-id 用 来 指定 重 
标记 数据 帧 的 内 层 VLAN ID 值 ， 取 值 范围 为 
1 一 4 094 的 整数 

缺 省 情况 下 ， 流 行为 中 没有 重 标记 VLAN 数 
据 帧 的 内 层 VLAN 标签 值 的 动作 , 可 用 undo 
remark cvlan-id 命令 恢复 缺 省 情况 





quit 

例如 ，[HUAWEL 
behavior-b1] quit 

traffic policy policy-name 
例如 : [HUAWEI] traffic 
policy pl 


退出 流行 为 视图 ， 返 回 系统 视图 


创建 流 策 略 并 进入 流 策略 视图 。 其 他 说 明 参 
见 表 7-15 的 第 8 步 





classifier classifier-name 
behavior behavior-name 
例如 : [HUAWEI- 
trafficpolicy-pl Jclassifier 
behavior bl 


将 以 上 定义 的 流 分 类 与 指定 的 流行 为 进行 绑 
定 ， 组 成 流 策略 。 其 他 说 明 参 见 表 7-15 的 第 
9 步 











1: [HUAWEI- 
dsdomain-ds1] quit 
interface inrerface-type 
interface-number 
[HUAWEU interface 
gigabitethernet 1/0/1 


退出 流 策 略 视图 ， 返 回 系统 视图 


键入 要 应 用 流 策 略 的 交换 机 端口 ， 进 入 接口 
视图 





port link-type hybrid 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] port 
link-type hybrid 


配置 以 上 端口 的 类 型 为 Hybrid 








port hybrid Untagged vlan 
{ {vlan-idl [to vian-id2 ] } 
&<1-10> |all} 

例如 : [HUAWEI- 
GigabitEthernet1/0/1] port 
hybrid Untagged vlan 2 3 
traffic-policy policy-name 
{inbound | outbound } 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] 
traffic-policy pl inbound 


把 以 上 Hybrid 端口 以 不 带 标签 方式 加 入 到 映 
射 后 的 外 层 VLAN 中 ， 有 具体 命令 参数 本 第 6 
章 已 有 详细 介绍 ， 不 再 歼 述 


在 端口 的 入 或 出 方向 应 用 流 策略 。 其 他 说 明 
参见 表 7-19 的 第 14 步 





( 续 表 ) 


7.10.3 基于 VLAN 的 2 to 2 的 VLAN 了 映射 配置 示例 








本 示例 拓扑 结构 如 图 7-25 所 示 。 处 于 不 同 地 理 
ISP 网 络 中 的 VLAN ID 冲突 ， 采 用 了 QinQ 方 式 传输 
























































中 的 用 户 互通 。 










Switch2 











位 置 的 用 户 为 了 便于 用 户 自己 规划 的 私 网 VYLAN ID 不 与 
， 使 用 户 数据 帧 中 带 有 双 层 VLAN 标 签 。 但 这 同时 也 带 来 
了 一 个 因 用 户 数据 帧 中 的 VLAN ID 与 ISP 网 络 分 配 的 VLAN ID 不 一 致 导致 用 户 数据 帧 被 丢弃 的 问题 ， 从 而 
致 CE 两 端的 用 户 无 法 正常 通信 。 此 时 可 采用 2to 2 的 VLAN 映 射 解决 这 一 问题 ， 实 现 CE Switch5 和 Switch6 
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图 7-25 基于 VLAN 的 2 to 2 的 VLAN 了 映射 配置 示例 的 拓扑 结构 














本 示例 采用 的 是 基于 VLAN 的 2 to 2 的 VLAN 了 映射 解决 方案 。 

1. 配置 思路 分 析 

本 示例 的 基本 配置 思路 如 下 。 

(1) 在 连接 用 户 的 Switch5 和 Switch6 交 换 机 上 将 端口 加 入 VLAN 10 或 VLAN 30 中 。 






































(2) 在 Switchl1 和 Switch4 上 配置 QinQ， 使 发 往 ISP 网 络 的 数据 帧 带 有 双 层 VLAN 标 签 。 














(3) 在 连接 ISP 网 络 的 Switch2 和 Switch3 交 换 机 上 部 署 2 to 2 的 VLAN 映 射 功能 。 
2. 具体 配置 步 又 
下 面 是 本 示例 的 具体 配置 步骤 。 

(1) 将 连接 用 户 的 交换 机 的 下 行 口 划分 到 指定 的 VLAN 中 。 
Switch5 上 的 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname Switch5 
[Switch5] vlan 10 
[Switch5-vlan10] quit 







































































[Switch5] interfacegigabitethernet 1/0/1 
[Switch5-GigabitEthernet1/0/1] port link-type access 
[Switch5-GigabitEthernet1/0/1] port default vlan 10 
[Switch5] interface gigabitethernet 1/0/2 
[Switch5-GigabitEthernet1/0/2] port link-type trunk 


已 
本 





[Switch5-GigabitEthernet1/0/2] port trunk allow-pass vlan 10 


Switch6 上 的 配置 : 
<HUAWEI>system-view 























[HUAWEI] sysname Switch6 


[Switch6] vlan 30 
[Switch6-vlan30] quit 


[Switch6] interfacegigabitethernet 1/0/1 


[Switch6-GigabitEthernet1/0/1] port link-type access 
[Switch6-GigabitEthernet1/0/1] port default vlan 30 
[Switch6] interfacegigabitethernet 1/0/2 
[Switch6-GigabitEthernet1/0/2] port link-type trunk 
[Switch6-GigabitEthernet1/0/2] port trunk allow-pass vlan 30 


(2) 在 Switch1 和 Switch4 
Swtich1 上 的 配置 : 
<HUAWEI>system-view 












































EISP 网 络 的 数据 帧 带 有 双 层 VLAN 标 签 。 

















[HUAWEI] sysname Swtichl 


[Swtich1] vlan 20 
[Swtichl-vlan20] quit 


[Switch1] interfacegigabitethernet 1/0/1 
[Switch1l-GigabitEthernet1/0/1] port link-type trunk 
[Swtichl-GigabitEthernet1/0/1] port trunk allow-pass vlan 20 
[Swtichl-GigabitEthernet1/0/1] port vlan-stacking vlan 10 stack-vlan 20 
[Swtichl-GigabitEthernet1/0/1] quit 
[Swtich1] interfacegigabitethernet 1/0/2 
[Switch1-GigabitEthernetL/0/2] port link-type trunk 
[Swtich1l-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 
[Swtichl-GigabitEthernet1/0/2] quit 














Swtich4 上 的 配置 : 
<HUAWEI>system-view 











[HUAWEI] sysname Swtich4 


[Swtich4] vlan 40 
[Swtich4-vlan40] quit 


[Swtich4] interfacegigabitethernet 1/0/1 
[Switch4-GigabitEthernet1/0/1] port link-type trunk 








[Swtich4-GigabitEthernet1/0/1] port trunk allow-pass vlan 40 


[Swtich4-GigabitEthernet1/0/1] port vlan-stacking vlan 30 stack-vlan 40 
[Swtich4-GigabitEthernet1/0/1] quit 
[Swtich4] interface gigabitethernet 1/0/2 
[Switch4-GigabitEthernet1/0/2] port link-type trunk 
[Swtich4-GigabitEthernet1/0/2] port trunk allow-pass vlan 40 


[Swtich4-GigabitEthernet1/0/2] quit 

(3) 在 连接 ISP 网 络 的 Switch2 和 Switch3 上 部 署 2 to 2 的 VLAN 映 射 功能 。 
Swtich2 上 的 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname Swtich2 
[Swtich2] interface gigabitethernet 1/0/1 


























[Swtich2-GigabitEthernet1/0/1] port vlan-mapping vlan 20 inner-vlan 10 map-vlan 50 map-inner-vlan 60 
Swtich3 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname Swtich3 
[Swtich3] interfacegigabitethernet 1/0/1 























[Swtich3-GigabitEthernet1/0/1] port vlan-mapping vlan 40 inner-vlan 30 map-vlan 50 map-inner-vlan 60 
完成 上 述 配置 后 ，CE1 中 的 用 户 就 可 以 与 CE2 中 的 用 户 互通 了 ， 因 为 此 时 他 们 发 出 的 数据 帧 中 的 双 层 
VLAN 标 签 经 过 Switch2 或 Switch3 后 是 一 致 的 了 ， 即 内 层 标签 为 0， 外 层 标签 为 50。 








I] 























7.10.4 基于 流 策略 的 2 to 2 的 VLAN 映 射 配 置 示例 








本 示例 拓扑 结构 如 图 7-26 所 示 ， 企 业 A 和 企业 B 各 自 规划 自己 的 私 网 VLAN ID， 但 是 由 于 用 户 数据 帧 中 
的 VLAN ID 与 ISP 网 络 分 配 的 VLAN ID 不 一 致 ， 将 导致 用 户 数 据 帧 被 丢弃 ， 从 而 导致 用 户 通 信 中 断 。 此 时 
可 在 CE 侧 交 换 机 上 部 署 VLAN 映 射 功 能 ， 实 现 企业 A 与 企业 B 通 过 运营 商 网 络 互相 通信 。 本 示例 采用 的 是 基 
于 流 策略 的 2 to 2 的 VLAN 了 映射 解决 方案 。 







































































运营 商 网 络 
外 层 VLAN 300 
内 层 VLAN 30 


SwitchC SwitchD 


GE1/0/1 GE1/0/2 









SwitchA /GEI1/0/1 GE1/0/2 SwitchB 







企业 A 
外 层 VLAN 100 
内 层 VLAN 10 


企业 B 
外 层 VLAN 200 
内 层 VLAN 20 










图 7-26 基于 流 策略 的 2 to 2 的 VLAN 映 射 的 配置 示例 的 拓扑 结构 























1. 配置 思路 分 析 
本 示例 的 基本 配置 思路 如 下 。 
(1) 在 SwitchA、SwitchB、SwitchC、SwitchD 上 创建 各 自 所 属 的 外 层 VLAN。 
(2) 在 SwitchA 和 SwitchB 上 创建 各 自 的 类 、 流 行为 、 流 策略 。 
(3) 配置 SwitchA、SwitchB、SwitchC、SwitchD 接 口 加 入 各 自 创 建 的 VLAN 。 
(4) 配置 SwitchA 上 GE1O1 端 口 和 SwitchB 上 GE1/0/2 端 口 应 用 基于 流 策略 的 替换 双 层 标签 的 VLAN 了 映 
射 功能 。 























































































































2. 具体 配置 步 又 

(1) 在 各 交换 机 上 创建 所 需 的 外 层 VLAN， 并 将 对 应 的 端口 加 入 这 些 VLAN 中 。 
SwitchA 上 的 配置 ; 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan 100 
[SwitchA] quit 
[SwitchAj] interfacegigabitethernet 1/0/1 


















































[SwitchA-GigabitEthernet1/0/1] port link-type trunk 
[SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 
SwitchB 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname SwitchB 

[SwitchB] vlan 200 

[SwitchB] quit 

[SwitchB] interface gigabitethernet 1/0/2 
[SwitchB-GigabitEthernet1/0/2] port link-type trunk 
[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 200 
SwitchC 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname SwitchC 

[SwitchC] vlan 300 

[SwitchC] quit 

[SwitchC] interfacegigabitethernet 1/0/1 
[SwitchC-GigabitEthernet1/0/1] port link-type trunk 
[SwitchC-GigabitEthernet1/0/1] port trunk allow-pass vlan 300 
SwitchD 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEH sysname SwitchD 
[SwitchD] vlan 300 

[SwitchD] quit 

[SwitchD] interfacegigabitethernet 1/0/2 







































































[SwitchD-GigabitEthernet1/0/2] port link-type trunk 
[SwitchD-GigabitEthernet1/0/2] port trunk allow-pass vlan 300 

(2) 在 SwitchA 和 SwitchB 的 入 、 出 方向 上 同时 配置 流 分 类 、 流 行为 、 流 集 略 。 
SwitchA 入 方向 的 配置 : 


[SwitchAl] traffic classifier namel operator and 
































[SwitchA-classifier-namel] if-match vlan-id 300 
[SwitchA-classifier-namel] if-match cvlan-id 30 


[SwitchA-classifier-name1] quit 


[SwitchAj] traffic behavior namel 

[SwitchA-behavior-namel] remark vlan-id 100 
[SwitchA-behavior-namel] remark cvlan-id 10 
[SwitchA-behavior-namel1] quit 

[SwitchAj] traffic policy namel 

[SwitchA-trafficpolicy-name1] classifiernamel behaviornamel 
SwitchA 出 方向 的 配置 : 


[SwitchAj] traffic classifier name2 operator and 





[SwitchA-classifier-name2] if-match vlan-id 100 
[SwitchA-classifier-name2] if-match cvlan-id 10 
[SwitchA-classifier-name2] quit 

[SwitchAj] traffic behavior name2 

[SwitchA-behavior-name2] remark vlan-id 300 
[SwitchA-behavior-name2] remark cvlan-id 30 
[SwitchA-behavior-name2] quit 

[SwitchAj] traffic policy name2 

[SwitchA-trafficpolicy-name2] classifiername2 behaviorname2 
SwitchB 入 方向 的 配置 ; 


[SwitchB] traffic classifier namel operator and 























[SwitchB-classifier-namel] if-match vlan-id 300 
[SwitchB-classifier-namel] if-match cvlan-id 30 
[SwitchB-classifier-name1] guit 

[SwitchB | traffic behaviornamel 

[SwitchB-behavior-name1 | remark vlan-id 200 
[SwitchB-behavior-name1 | remark cvlan-id 20 
[SwitchB-behavior-name1] quit 

[SwitchB] traffic policy namel 

[SwitchB-trafficpolicy-name1] classifiernamel behavior namel 
SwitchB 出 方向 的 配置 


[SwitchB] traffic classifier name2 operator and 


























[SwitchB-classifier-name2] if-match vlan-id 200 
[SwitchB-classifier-name2] if-match cvlan-id 20 
[SwitchB-classifier-name2] guit 

[SwitchB] traffic behaviorname2 
[SwitchB-behavior-name2] remark vlan-id 300 
[SwitchB-behavior-name2] remark cvlan-id 30 
[SwitchB-behavior-name2] quit 

[SwitchB] traffic policy name2 


[SwitchB-trafficpolicy-name2] classifiername2 behaviorname2 


(3) 在 SwitchA 和 SwitchB 上 配置 基于 流 策略 的 蔡 换 双 层 标 签 的 VLAN 了 映射 功能 。 









































SwitchA 上 的 配置 : 
<SwitchA>system-view 

[SwitchA] interfacegigabitEthernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] traffic-policy namel inbound 























[SwitchA-GigabitEthernet1/0/1] traffic-policy name2 outbound 
SwitchB 上 的 配置 : 
<SwitchB>system-view 

[SwitchB] interfacegigabitEthernet 1/0/2 
[SwitchB-GigabitEthernet1/0/2] traffic-policy namel inbound 
[SwitchB-GigabitEthernet1/0/2] traffic-policy name2 outbound 
完成 以 上 配置 后 ， 企 业 A 内 用 户 与 企业 B 内 用 户 就 可 以 互相 访问 了 。 



























































8.1 STP 基 础 


第 8 音 


生成 树 协议 














配置 与 管理 



































8.2 STP 拓 扑 计算 原理 深入 剖析 











8.3 RSTP 对 STP 的 改进 








8.4 STP/RSTP 配 置 
8.5 MSTP 基 础 
8.6 MSTP 配 置 








8.7 STP/RSTP/MSTP 配 置 管理 
来 消除 网 络 中 可 能 存在 的 二 层 环 路 ， 以 防 广播 风暴 ， 或 者 数 翰 
局 域 网 交换 机 配置 中 不 是 很 常用 ， 因 为 一 般 很 少 昌 
杂 ， 网 络 规模 比较 大 的 网 络 中 确实 是 必需 之 选 ， 如 为 了 解 划 
链 路 (特别 是 在 汇聚 层 和 核心 层 中 ) ， 还 有 为 了 实现 VLAN 流 量 负 载 分 担 而 特意 部 署 的 多 条 等 价 链 路 等 ， 
及 为 了 提高 网 络 的 可 靠 性 ， 在 一 些 网 络 中 存在 接 入 环 网 等 。 











生成 树 协议 就 是 | 
日 常 进行 的 小 型 

































































华为 系列 交换 机 全 画 




















这 三 种 生成 树 协议 ， 全 面 











是 网 络 拓扑 收敛 速度 慢 ，RSTP 是 在 STP 基 础 上 改进 的 生成 树 协议 版 本 ， 它 的 收敛 速度 明 
STP 还 是 RSTP 都 是 单 生 成 树 ， 即 一 个 网 络 中 只 生成 一 棵 生成 树 。MSTP 又 是 在 RSTP 基 础 




















四 传输 死 循环 。 在 我 们 


























现 二 层 环 路 。 但 是 它 在 
单 台 交换 机 的 单 点 故障 问题 而 特意 添加 的 元 余 


些 结构 比较 复 





以 


| 支持 STP 〈 生 成 树 协 议 ) 、RSTP 〈 快 速生 成 树 协 议 ) 和 MSTP (多 生成 树 协议 ) 


满足 于 各 类 网 络 环境 下 的 生成 树 计 算 。STP 是 最 原始 的 生成 树 协 议 ， 它 的 主要 不 足 



































显 提 高 。 但 无 论 是 


上 的 改进 版 本 ， 最 








主要 的 特性 就 是 可 以 在 一 个 网 络 中 划分 多 个 MST 域 ， 在 一 个 MST 域 中 又 可 划分 多 个 生成 树 实 例 ， 是 多 生成 





树 协 议 。 


本 章 将 全 




















本 功能 和 影响 拓扑 收敛 性 能 的 参数 配置 ， 在 RSTP 和 MSTP! 


8.1 STP 基 础 





STP (Spanning Tree Protocol， 生 成 树 协议 ) 是 根 提 
行 STP 协 议 的 设备 通过 彼此 交互 信息 发 现 网 络 中 的 环 路 ， 并 有 选择 地 对 某 些 端口 进 
路 网 络 结构 修剪 成 无 环 路 的 树 型 网 络 结构 ， 从 而 防止 报 文 在 环 路 网 络 中 不 断 增 生 
于 重复 接收 相同 的 报 文 所 造成 t 


< 














据 链 路 层 环 路 的 协议 。 运 
行 阻塞 ， 以 最 终 实现 将 环 














和 无 限 循环 ， 避 免 设备 由 
8.1.1 STP 的 由 来 





说 到 STP (包括 后 

















的 星 型 以 太 网 中 ， 通 常 很 少 需要 配置 它 ， 网 络 照样 可 以 



































的 以 太 网 ! 





通常 就 已 是 无 




















物理 环 路 ) 时 才 需 要 采用 
及 消除 同一 个 交换 机 从 不 
在 以 太 网 交换 网 络 ! 


















































同 端 口上 收 到 多 份 相同 














机 将 要 介绍 的 RSTP 和 MSTP) ， 许 多 读者 朋友 
E 常 使 月 
交叉 、 无 物理 环 路 的 树 形 结构 。 那 么 STP 到 底 有 
呢 ? 在 此 我 要 告诉 你 ，STP 仅 在 网 络 中 存在 元 余 链 路 ， 或 者 网 络 中 存 
， 其 目的 就 是 消除 网 络 这 些 可 














介绍 华为 $ 系 列 交换 机 的 STP、RSTP 和 MSTP 功 能 的 配置 。 总 体 上 配置 都 很 简单 ， 仅 包括 基 











还 可 配置 一 些 保 护 功能 。 





届 IEEE 802.1D 标 准 建立 的 ， 





的 报 文 处 理 























] 于 在 




































































能 造成 数据 往返 传输 ， 
的 数据 。 
为 了 进行 链 路 备份 ， 提 高 网 络 可 























直 想 不 明白 它 有 什么 
目 。 的 确 如 此 ， 因 为 在 由 星 型 结构 单元 组 成 

















局 域 网 中 消除 数 























能 力 下 降 的 问题 发 生 。 














jj， 因为 在 常见 























什么 用 ， 主 要 在 什么 情况 下 使 用 它 























生 环 


























网 络 结构 (其实 都 是 存在 封闭 的 
成 死 循 环 的 元 余 链 路 ， 以 








靠 性 ， 通 常会 在 一 些 关 键 设备 间 使 用 见 余 链 路 ， 





如 在 图 8-1 所 示 两 核心 交换 机 使 用 了 元 余 连接 。 但 是 使 用 见 余 链 路 会 在 交换 网 络 上 产生 环 路 (如 图 中 的 S1 和 





















































S2 的 portL、port2 端 口 就 构成 了 一 个 物理 封闭 环 路 ) ， 并 导致 广播 风暴 以 及 MAC 地 址 表 不 稳定 等 故障 现象 ， 
从 而 导致 用 户 通信 质量 较 差 ， 甚 至 通信 中 断 。 如 S1 的 port1 端 口 在 从 S2 的 portL 端 口 收 到 一 个 广播 包 后 ， 会 再 
从 包括 它 的 port2 在 内 的 所 有 其 他 端口 发 送出 去 ， 这 样 S2 的 port2 端 口 又 会 收 到 这 个 同样 的 广播 包 ， 然 后 从 包 
括 它 的 port1 在 内 的 所 有 其 他 端口 发 送出 去 ， 致 使 S1 的 port1 端 口 再 次 收 到 同样 的 广播 包 ， 就 这 样 一 直 循环 下 
去 ， 形 成 了 一 个 死 循环 ， 最 终 形 成 广播 风暴 。 
另外 ， 还 有 一 些 网 络 中 存在 设备 间 的 封闭 环形 结构 ， 如 在 图 8-2 所 示 的 网 络 中 ，S1、S2、S3 和 LAN 局 域 
网 所 形成 的 封闭 环 。 其 实 这 种 结构 和 图 8-1 是 一 样 的 ， 只 是 相当 于 在 图 8-1 中 的 直 连 链 路 中 间 加 了 一 些 设备 S2 
和 S3， 同 样 会 形成 广播 风暴 。 使 用 STP 技 术 ， 其 实 更 多 是 抱 着 以 防 万 一 的 心态 ， 怕 网 络 中 存在 这 样 的 物理 封 
闭环 路 。 因 为 STP 技 术 在 保障 正常 使 用 宛 余 链 路 备份 的 同时 ， 又 可 确保 不 会 出 现 二 层 通 信 环 路 。 
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8 portl portl 全 


port2 port2 



















































































































































































































































































图 8-1 元 余 链 路 结构 示例 








图 8-2 环形 网 络 结构 示例 








为 解决 交换 网 络 中 的 环 路 问题 ， 提 出 了 生成 树 协 议 STP。 运 行 STP 协 议 的 设备 通过 彼此 交互 信息 发 现 网 
络 中 的 环 路 ， 并 有 选择 地 对 某 个 端口 进行 阻塞 ， 最 终 将 环形 网 络 结构 修剪 成 无 环 路 的 树 形 网 络 结构 ， 从 而 
防止 报 文 在 环形 网 络 中 不 断 循环 ， 避 人 免 设 备 由 于 重复 接收 相同 的 报 文 造成 处 理 能 力 下 降 。 

再 如 图 8-3 所 示 环 形 结构 网 络 中 ， 如 果 没 有 在 交换 机 上 启用 STP 协 议 就 会 产生 如 下 两 种 情况 。 










































































































































































Host A 


portl portl 
Sl S2 


port2 port2 
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Host B 


图 8-3 环形 结构 网 络 示例 








(1) 广播 风暴 导致 网 络 不 可 用 
如 果 HostA 发 出 广播 请 求 ， 交 换 机 S1 和 S2 的 端口 
的 端口 〈 如 port2) 广 坦 





















































portl 都 将 收 到 这 个 广播 报 文 ， 然 后 从 所 有 其 他 同 网 段 


去 ， 这 时 对 端 交换 机 与 之 相连 的 站 





iH 口 又 收 到 相同 的 广播 报 文 ， 这 台 交 换 机 再 








从 它 














的 其 他 端口 (如 portl) 转发 出 去 ， 对 端 交 换 机 又 会 收 到 相同 的 广播 报 文 ， 如 此 反复 ， 最 终 导 致 整个 网 络 资 


源 被 耗 尽 ， 网 络 瘫痪 不 可 用 。 
(2) MAC 地 址 表 震 荡 导 致 MAC 地 址 表 项 被 破坏 
即使 是 单 播报 文 ， 也 有 可 能 导致 交换 设备 的 MAC 地 址 表 项 混乱 ， 以 致 破坏 交换 设备 的 MAC 地 址 表 。 假 
单 播报 文 给 HostB， 如 果 此 时 HostB 临 时 从 网 络 中 移 

| 除 。 此 时 HostA 发 给 HostB 的 单 播报 文 ， 将 被 交换 机 
于 S1 上 没有 相应 的 MAC 地 址 转发 表 项 了 ， 因 此 该 单 播报 文 将 被 同时 泛 洪 转发 
发 来 的 单 播报 文 后 ， 然 后 又 以 泛 洪 
播报 文 。 如 此 反复 ， 在 两 台 
竺 报 文 ， 交 换 机 会 不 停 地 修改 自己 的 


设 图 8-3 所 示 的 网 络 中 没有 广播 风暴 ，HostA 发 送 
了 么 交换 机 上 有 关 HostB 
2 上 的 端口 port1 接 收 ， 

《如 port2) 上 ， 交 换 机 S2 的 端 
方式 从 其 他 端口 〈 如 port1) 发 蝇 
1 于 不 间断 地 从 间 


去 ， 忆 
S1 也 
到 其 


交换 机 上 ， 








1S 

















他 端口 













































































个 





的 MAC 地 址 表 项 也 将 被 





























port2 在 收 到 从 对 端 port2 端 口 
去， 使 交换 机 S1 的 portl 端口 又 会 收 到 这 个 六 
口 port2、Pportl 收 到 主机 A 发 来 的 单 ] 










































































MAC 地 址 表 项 ， 从 而 引起 了 MAC 地 址 表 的 抖动 。 如 此 下 去 ， 最 终 导致 MAC 地 址 表 项 被 破坏 。 








8.1.2 STP 基 本 概念 











ID、 端 口 优先 级 等 。 所 以 这 
状态 ”一 句 话 来 形容 ， 下 面 分 别 予 以 介绍 。 


兹 


网 络 中 除根 桥 外 的 其 他 桥 统称 为 非 根 桥 。 有 关 桥 ID 将 在 下 画 


要 将 环 路 ， 








口 





些 基本 概念 可 以 





























1. 一 个 根 桥 





树 形 的 网 络 结构 必须 有 一 个 树 根 ， 
网 络 ， 根 桥 在 全 网 中 只 有 




















说 明 


根 桥 是 整个 网 络 的 逻辑 中 心 ， 但 不 一 定 是 物理 ， 


所 有 交换 机 当中 性 能 最 好 的 一 台 设 置 为 机 

















个 ， 就 像 一 棵 树 只 有 



































个 树 根 





在 STP 协 议 中 涉及 许多 基本 概念 ， 如 根 桥 、 桥 ID、 桥 优先 级 、 根 端口 、 指 定 端口 、 
j“ 一 个 根 桥 、 两 种 度量 、 





样 ， 那 就 是 网 络 中 


三 个 选举 要 素 、 四 个 比较 原则 和 五 种 





端口 状态 、 端 





























F 是 STP 引 入 了 根 桥 (Root Bridge) 概念 。 对 于 一 个 运行 STP 协 议 的 
























































心 ， 








人 体 介绍 。 
































发 ， 传 达 拓 扑 变化 记录 ， 从 而 保证 拓扑 的 稳定 。 


并 





举 中 ， 首 先 要 比较 的 就 是 高 16 位 的 桥 优先 级 ， 它 是 一 个 


2. 两 种 度量 


















































在 STP 生成 树 的 计算 中 
有 收 、 发 数据 的 功能 ， 哪 些 端 
生成 树 计 算 所 依据 上 





要 确定 两 个 方面 : 



































具有 最 小 桥 ID (BID) 的 桥 。 











昌 会 根据 网 络 拓扑 的 变化 而 动态 变化 。 一 般 是 需 
民 桥 交换 机 ， 以 保证 能 够 提供 最 好 的 网 络 性 能 和 可 靠 
性 。 网 络 收敛 后 ， 根 桥 会 按照 一 定 的 时 间 间 隔 产 生 并 向 外 发 送 配 置 BPDU， 其 他 设备 仅 对 该 报 文 进 行 转 


一 是 确定 哪 台 交换 机 将 成 为 根 桥 ， 在 非 根 桥 的 交换 机 中 哪些 
口 又 该 被 阻塞 ， 以 便 最 终 形 成 无 环 路 的 树 形 结构 交换 网 络 。 这 里 的 STP 
的 就 是 STP 中 的 ID 和 路 径 开 销 。 
(1) ID。STP 中 的 ID 包括 : BID (BridgeID， 桥 ID) 和 PID (PortID， 端 口 ID) 两 种 。 























@BID。BID 一 共 64 位 ， 高 16 位 为 桥 优 先 级 (Bridge Priority) 值 ， 低 48 位 为 桥 背 板 MAC 地 址 。BID 决 
定 了 哪 台 交换 机 将 成 为 交换 网 络 中 的 根 桥 。 在 STP 中 规定 BID 最 小 的 交换 机 将 被 选举 为 根 桥 。 在 进行 根 桥 选 









































] 户 可 以 设 定 的 参数 ， 数 值 范 围 从 0 到 61440， 设 定 





的 值 越 小 ， 优 先 级 越 高 ， 也 越 有 可 能 成 为 根 桥 。 如 果 各 交换 机 的 桥 优 先 级 都 一 样 才 比较 它们 BID 中 的 桥 背 板 
MAC 地 址 了 ，MAC 地 址 最 小 的 将 成 为 该 交换 网 络 中 的 根 桥 。 











口 














@PID。PID 由 两 章 




















分 构成 ， 高 4 位 是 端 











”有 作 | 








] 。 即 在 选择 指定 端口 























时 ， 两 个 端口 的 根 路 径 3 











优先 级 ， 低 12 位 是 端口 号 。PID 











只 在 茶 些 情况 下 对 选择 “指定 
开销 和 发 送 BPDU 交 换 机 的 BID 都 相同 的 情况 下 ， 






































比较 端口 的 PID，PID 小 者 为 指 














定 端口 。 端 口 优先 级 可 以 影响 端口 在 指定 生成 树 实例 上 的 角色 
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(2) 路 径 开销 。 路 径 开销 (Path Cost) 是 一 个 端口 参数 ， 由 具体 端口 的 链 路 速率 决定 〈 对 于 聚合 链 

















路 ， 链 路 速率 是 聚合 组 中 所 有 ; 




















议 通过 计算 各 端口 的 路 径 开 销 ， 





络 结构 。 


在 


















































状态 为 Up 的 成 员 口 的 速率 之 和 ) ， 是 STP 协 议 用 于 选择 链 路 的 参考 值 。STP 协 























选择 较为 “强壮 ”的 链 路 ， 阻 塞 多 余 的 链 路 ， 将 网 络 修剪 成 无 环 路 的 树 形 网 

















企 一 个 运行 STP 协 议 的 交换 网 络 中 ， 某 端口 到 根 桥 累 计 的 路 径 开销 就 是 所 经 过 的 各 个 桥 上 的 各 端口 的 路 


径 开 销 累 加 值 ， 这 个 值 叫 做 根 路 径 开 销 (Root Path Cost) 。 根 桥 上 所 有 端口 的 根 路 径 开销 ， 以 及 同 交 换 机 
上 不 同 端口 间 的 路 径 开销 值 均 为 零 。 























3. 三 个 选举 要 素 























一 











下 面 结合 图 8-4 进 行 介 绍 。 


root 


bridge A B 














S2 


PC=100;RPC=0 PC=100;RPC=100 








1 环形 网 络 拓扑 结构 修剪 为 树 形 结构 ， 需 要 使 用 STP 中 的 3 个 选举 要 素 ， 即 根 桥 、 根 端口 和 指定 端口 。 








Sl 
l A 
PC=100;RPC=0 PC=99:RPC=199 
PC:path cost 
A B 
PC=100:RPC=100 PC=99:RPC=199 RP:root palhiooet 





S3 


(1) 根 桥 











B A 


加 root port 


O designated port 


PC=200;RPC=300 PC=200;RPC=300 S4 X blocked port 





区 | 








8-4 STP 三 要 素描 述 示例 











图 中 的 PC 为 Past Cost， 即 “路 径 开 销 ?”，RPC 为 Root Path Cost， 即 “ 根 路 径 开 销 ”。 














根 桥 (Root Bridge，RB) 就 是 BID 最 小 的 桥 设 备 ， 通 过 交互 配置 BPDU 报 文 来 选 出 最 小 的 BID， 如 图 8-4 























中 的 S1 为 根 桥 。 这 部 分 已 在 前 本 














iT 有 了 详细 介绍 ， 不 再 袭 述 。 























(2) 根 端 











》 





























根 端口 (Root Port，RP) 负责 向 根 桥 方向 转发 数据 ， 是 当前 桥 设 备 上 去 往 根 桥 的 “ 根 路 径 开 销 ”(Root 


Path Cost，RPC) 值 最 小 的 端口 








当 多 个 端口 根 路 径 开 销 相 同时 ， 会 乡 
桥 ID 也 相同 时 ， 才 会 比较 指定 桥 上 的 PID， 指 定 桥 上 具有 最 小 PID 的 对 应 端 


取 
有 一 个 ， 但 根 桥 上 没有 根 端口 。 


Es 















































， 也 即 非 根 桥 的 交换 机 上 离 根 桥 “ 最 近 ” 的 端 



































o 











Et 比较 指定 桥 ID， 对 应 最 小 指定 桥 ID 的 端口 会 成 为 根 端口 ， 当 指定 









































会 成 为 根 端口 。 端 口 优先 级 的 


























直 范 围 为 0 到 255， 值 越 小 ， 端 口 的 优先 级 就 越 高 。 很 显然 ， 在 一 个 运行 STP 协 议 的 设备 上 根 端 口 有 且 只 


























/~、 





通过 比较 图 8-4 中 S2、S3 和 S4 中 的 A、B 端 口 到 达 根 桥 S1 的 根 路 径 开销 (RPC) 值 就 可 以 得 出 它们 的 根 

















端口 了 “分 别 为 B 端 口 、A 端 口 和 B 端 口 ) 。 














(3) 指定 端口 
































可 








“指定 端口 ”(Designated Port，DP) 与 “指定 桥 ”(Designated Bridge，DB) 息 息 相 关 ， 但 不 是 一 一 对 应 

















的 ， 如 何 确定 要 分 以 下 两 种 情况 。 























G) 对 于 一 台 设 备 而 言 ， 与 本 机 直接 相连 并 且 负 责 向 本 机 转发 配置 消息 的 设备 就 是 指定 桥 ， 指 定 桥 中 向 


























本 桥 转发 配置 消息 的 端口 就 是 指定 端口 。 











@ 对 于 一 个 局 域 网 而 言 ， 负 责 向 本 网 段 转发 配置 消息 
































的 设备 就 是 指定 桥 ， 指 定 桥 上 向 本 网 段 转发 配置 












































































































































































































































































































































































































































































































































































































































消息 的 端口 就 是 指定 端口 。 

如 图 8-5 所 示 ，AP1、AP2、BP1、BP2、CP1、CP2 分 别 表示 设备 S1、S2、S3 的 端口 。S1 通 过 端口 AP1 向 
S2 转 发 配置 消息 ， 则 S2 的 指定 桥 就 是 S1， 指 定 端口 就 是 S1 的 端口 AP1。 而 与 局 域 网 LAN 相 连 的 有 S2 和 S3 两 
台 设 备 ， 如 果 配 置 S2 负 责 向 LAN 转 发 配置 消息 ， 则 LAN 的 指定 桥 就 是 S2， 指 定 端口 就 是 S2 的 BP2。 

图 8-5 指定 桥 与 指定 端口 示例 

一 旦 根 桥 、 根 端口 、 指 定 端口 选举 成 功 ， 则 整个 树 形 拓扑 建立 完毕 。 在 拓扑 稳定 后 ， 只 有 根 端口 和 指 
定 端口 转发 流量 ， 其 他 的 非 根 、 非 指定 端口 〈 称 为 阻塞 端口 ) 都 处 于 阻塞 〈Blocking) 状态 ， 它 们 只 接收 
STP 协 议 报 文 而 不 转发 用 户 流 量 ， 如 图 8-4 中 的 S4 的 A 端 

4. 四 个 比较 原则 

STP 生成 树 的 生成 计算 中 依据 的 就 是 各 个 端口 在 发 送 配置 BPDU 中 所 携带 的 4 个 优先 级 向 量 : { 根 桥 
ID， 累 计 根 路 径 开 销 ， 发 送 者 BID， 发 送 端口 PID } 。 具 体 解释 如 下 。 

(1) 根 桥 ID: 每 个 STP 网 络 中 有 且 仅 有 一 个 根 。 

(2) 累计 根 路 径 开销 : 发 送 配置 BPDU 的 端口 到 根 桥 的 距离 。 

(3) 发 送 者 BID: 发 送 配 置 BPDU 的 设备 的 BID。 

(4) 发 送 端口 PID: 发 出 配置 BPDU 的 端口 的 PID。 

STP 网 络 中 的 其 他 设备 收 到 配置 BPDU 消 息 后 ， 将 比较 这 些 字 段 值 ， 然 后 按照 以 下 4 个 基本 比较 原则 
(在 STP 计 算 过 程 中 ， 遵 循 数值 越 小 越 好 的 原则 〉。 

(1) 最 小 BID: 用 来 选举 根 桥 。 运 行 STP 协 议 的 设备 之 间 根 据 各 自发 送 的 配置 BPDU 中 BID 字段 值 最 小 
的 作为 根 桥 。 根 桥 的 选举 原则 是 通过 BID 中 的 桥 优 先 级 和 桥 MAC 地 址 进行 比较 的 ， 先 进行 桥 优 先 级 比较 ， 
优先 级 最 高 〈 优 先 级 值 最 小 ) 的 将 成 为 根 桥 ;， 桥 优先 级 相同 忆 


桥 。 


(2) 最 小 累计 根 路 径 开 销 : 
开销 值 最 小 的 端口 作为 该 桥 的 根 端 
肯定 桥 上 的 ， 而 不 是 在 根 桥 

(3) 最 小 发 送 者 BID: |) 
上 根 路 径 开 销 相 等 的 非 根 桥 中 选择 指定 桥 ， 要 在 接收 配置 BPDU 的 多 个 端口 之 : 
协议 计算 将 选择 接收 到 的 配置 BPDU 中 发 送 者 的 BID 较 小 的 那个 桥 作为 
己 的 根 端口 。 
8-4 所 示 ， 假 设 S2 的 BID 小 于 S3 的 BID， 如 果 S4 的 A、B 两 个 端口 接收 到 的 BPDU 里 二 
相等 ， 那 么 S2 将 成 为 S4 的 指定 桥 ，S4 端 口 B 将 成 为 S4 的 根 端口 。 


的 端口 
如 


























ek 
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] 来 在 非 根 桥 上 选择 根 站 











口 。 在 运行 
午 根 桥 上， 每 个 端 

















的 。 











2 











来 在 






































就 作为 


名 




















。 丰 首 口 到 根 桥 的 根 路 径 姑 








FE 根 桥 上 选择 指定 桥 和 根 端口 。 





当 一 台 运 行 


有 比较 桥 MAC 地 址 ，MAC 地 址 最 小 的 将 成 为 根 





STP 协 议 的 设备 上 到 达 根 桥 的 总 路 径 


F 销 都 是 0， 所 以 根 端口 都 是 在 








STP 协 议 的 设备 要 在 两 个 以 


















































选择 根 端口 时 ， 通 过 STP 






































己 的 指定 桥 ， 接 收 该 配置 BPDU 




















掉 的 根 路 径 开销 











(4) 最 小 PID: 用 于 




















F 在 根 路 径 开销 相同 的 情 
























































况 下 ， 阻 塞 PID 值 较 大 的 端口 ，PID 值 最 小 的 端 


























口 将 成 为 该 


桥 上 的 指定 端口 。 在 如 图 8-6 所 示 的 情况 下 PID 才 起 作用 ，S1 的 端口 A 的 PID 小 于 端口 B 的 PID， 由 于 两 个 端口 
上 收 到 的 BPDU 中 根 路 径 开 销 、 发 送 设备 的 BID 都 相同 ， 所 以 消除 环 路 的 依据 就 只 有 PID。 

Sl | | S2 

A B 





O designated port 
X blocked port 





图 8-6 根据 PID 选 择 指 定 端 








的 示例 














5. 五 种 端口 状态 

运行 STP 协 议 的 设备 上 有 以 下 5 种 端口 状态 。 

(1) Forwarding: 转发 状态 ， 此 时 端口 既 转 发 用 户 流量 也 转发 BPDU 报 文 。 
能 进入 Forwarding 状 态 。 

(2) Learning: 学 习 状 态 ， 此 时 设备 会 根据 收 到 的 用 户 流量 构建 MAC 地 址 表 ， 但 不 转发 用 户 流量 。 

一 种 过 渡 状 态 ， 增 加 Leaming 状 态 为 防止 临时 二 层 环 路 。 

(3) Listening: 监听 状态 ， 此 时 设备 正在 确定 端口 角 
一 种 过 渡 状 态 。 

(4) Blocking: 阻 

(5) Disabled: 禁 
Down。 


以 上 这 5 种 端口 状态 的 迁移 机 制 如 图 8-7 所 示 。 图 中 的 序号 说 明 如 下 。 
































只 有 根 端 








或 指定 端口 才 























[Ci 
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D> 





























将 选举 出 根 桥 、 根 端口 和 指定 端 






































状态 ， 此 时 端口 仅 可 接收 并 处 理 BPDU， 不 转发 用 户 流量 。 
状态 ， 此 时 端口 不 仅 不 能 转发 BPDU 报 文 ， 也 不 能 转发 用 户 流量 。 





























端口 状态 





出 
























Disabled or 加 
on Blocking 


Forwarding 











图 8-7 端 


















































G: 端口 从 禁止 状态 开始 初始 化 或 者 使 能 后 首先 进入 阻塞 状态 。 
@O: 在 端口 突然 被 禁用 或 者 链 路 失效 时 将 从 当前 其 他 所 有 状态 下 直接 进入 到 禁用 状态 
@@: 在 端口 被 选举 为 根 端口 或 指定 端口 后 ， 由 阻塞 状态 进入 到 监听 状态 。 



























































由 : 在 端口 
态 进入 转发 状 
说 明 








再 是 根 端口 














七 
上 上 











或 指定 
的 根 端口 和 指定 端 

















华为 公司 数据 通信 设备 缺 省 情况 处 了 



















































































口 要 经 过 两 倍 的 转发 延 时 〈 即 从 监听 状态 进入 学 习 状 态 ， 
后 才能 进入 转发 状态 ， 以 确保 新 的 配置 消 








iH 口 时 ， 会 从 当前 其 他 状态 直接 进入 阻塞 状态 。 














和 从 学 习 状 





县 传 志 整 个 网 络 ， 防 止 临时 环 路 的 产生 。 





MSTP 模式 ， 当 从 MSTP 模式 切换 到 STP 模式 ， 运 行 STP 协 议 的 






























































设备 上 端口 支持 的 端口 状态 仍然 保持 和 MSTP 支 持 的 端口 状态 一 样 (MSTP 端 口 状 态 与 RSTP 端 口 状 态 相 
同 ) ， 支 持 的 状态 仅 包 括 Forwarding (转发 ) 、Learning (学 习 ) 和 Discarding (丢弃 ) 这 三 种 ， 将 在 本 章 后 
而 具体 介绍 。 
8.1.3 STP 的 3 个 定时 器 
对 于 STP， 影 响 端 口 状 态 和 端口 收敛 有 以 下 3 个 定时 器 参数 。 
1. Hello Time (Hello 定 时 器 ) 
Hello 定 时 器 是 指 运行 STP 协 议 的 设备 发 送 配置 BPDU 的 时 间 间 隔 ， 即 设备 会 每 隔 Hello Time 时 间 向 周围 
的 设备 发 送 配置 消息 BPDU， 以 确认 链 路 是 否 存在 故障 。 
当 网 络 拓扑 稳定 之 后 ， 该 定时 器 的 修改 只 有 在 根 桥 修改 后 才 有 效 。 新 的 根 桥 会 在 发 出 的 BPDU 报 文中 填 








充 适 当 的 字段 以 向 其 他 非 根 桥 传 递 该 定时 器 














时 器 的 管理 。 
2. Forward Delay 〈 转 发 延 时 ) 
































间 ， 缺 省 

















转发 延 时 是 设备 进行 状态 迁移 的 延迟 
是 15s。 即 Listening 状 态 持续 15s， 





链 路 故障 会 引发 网 络 重 
新 配置 消息 不 可 能 立 
能 会 造成 临时 的 二 层 环 路 。 为 此 ，S 


有 此 会 二 





新 进行 4 


























的 Forward Delay 延 时 后 才能 进入 转发 状态 ， 


环 路 的 产生 。 
3. Max Age《〈 最 大 生存 时 间 ) 





最 大 生存 时 间 是 指 端口 的 BPDUj 
Max Age 通 过 配置 BPDU 报 文 的 传输 ， 可 保证 Max Age 








成 树 


传 遍 整 个 网 络 ， 如 果 此 时 


TP 采 





























时 间 ， 是 指 














随后 进入 Leaming 状 态 ， 然 后 再 持 绩 


的 计算 ， 





生成 树 的 结构 将 发 生 相 应 的 变化 。 但 





个 端口 处 于 Listening 和 Learning 状 态 的 各 


15S。 
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所 选 出 的 根 端口 





















































备 收 到 


t= 
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置 BPDU 
说 明 














当 配 置 BPDU 从 根 桥 发 出 时 报 文中 的 Message Age 值 为 0。 当 其 他 桥 收 到 配置 BPDU 时 ，Message Age 值 
为 从 根 桥 发 送 到 当前 桥接 收 到 BPDU 的 总 时 间 ， 包 括 传输 延 时 等 。 








桥 ，Message Age 增 加 1。 


8.1.4 STP BPDU 报 文 











STP 协 议 采 用 








和 置 BPDU 报 文 后 ， 会 对 报 文 ! 








的 是 BPDU (Bridge Protocol Data Unit， 桥 协议 数 


及 文 的 老化 


的 Message Age〔 消 ) 


和 指定 端口 就 立即 开始 数 
了 一 种 状态 迁移 机 制 ， 新 选 出 的 根 端口 








和 指定 端口 








新 计算 得 到 
四 转发 的 话 很 可 


要 经 


修改 的 信息 。 当 拓扑 变化 之 后 ，TCN BPDU 的 发 送 不 受 这 个 定 
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过 两 











这 个 延 时 
























































保证 了 新 的 配置 消息 传 迄 整个 网 络 ， 从 而 防止 了 临 


对 间 ， 可 在 根 桥 上 通过 命令 人 为 改动 老化 时 间 。 
在 整 网 中 一 致 。 运 行 STP 协 议 的 网 络 中 非 根 桥 设 
息 生 存 时 间 ) 和 Max Age 进 行 比较 : 如 果 Message 
Age 小 于 等 于 Max Age， 则 该 非 根 桥 设备 继续 转发 配置 BPDU 报 文 ， 如果 Message Age 大 于 Max Age， 则 该 配 
报 文 将 被 老化 。 该 非 根 桥 设备 直接 丢弃 该 配置 BPDU， 可 认为 网 络 直径 过 大 ， 
































外 单 元 ) 类 型 报 文 ， 也 称 为 配置 消 




















导致 根 桥 连接 失败 。 




















实际 实现 中 ， 配 置 BPDU 报 文 每 经 过 一 个 
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4 o 





STP 就 是 通过 在 设备 之 间 传 递 BPDU 来 确定 最 终 修剪 完成 的 网 络 拓扑 结构 。STP BPDU 又 分 为 两 大 类 。 
(1) 配置 BPDU (Configuration BPDU) : 用 来 进行 生成 树 计 算 和 维护 生成 树 拓扑 的 报 文 ， 是 初始 阶段 


























中 各 交换 机 发 送 的 BPDU 消 息 。 
(2) TCN BPDU (Topology Change Notification BPDU) : 当 拓 扑 结构 发 生变 化 时 ， 下 游 设 备用 来 通知 
上 游 设 备 网 络 拓扑 结构 发 生变 化 的 报 文 。 它 是 当 拓 扑 稳定 后 ， 网 络 中 出 现 了 链 路 故障 ， 网 络 拓扑 发 生 改变 
时 所 发 送 的 BPDU 消 息 。 
“配置 BPDU”* 是 一 种 心跳 报 文 ， 只 要 端口 使 能 STP 协议 ， 则 设备 就 会 按照 Hello Time 定 时 器 规定 的 时 间 
间隔 从 指定 端口 发 送 配 置 BPDU; 而 TCN BPDU 是 在 设备 检测 到 网 络 拓扑 发 生变 化 时 才 发 出 的 。STP BPDU 
报 文 被 封装 在 以 太 网 数据 帧 中 ， 此 时 目的 MAC 地 址 是 组 播 MAC 地 址 : 01-80-C2-00-00-00， 在 LLC 头 部 
IEEE 为 STP 保 留 的 DSAP 和 SSAP 值 均 为 0x42，Control 为 0x03。 下 面具 体 介 绍 这 两 种 BPDU。 
1. 配置 BPDU 
在 STP 中 通常 所 说 的 BPDU 报 文 多 数 指 配置 BPDU。 在 初始 化 过 程 中 ， 每 个 桥 都 主动 发 送 配 置 BPDU。 但 
在 网 络 拓扑 稳定 以 后 ， 只 有 根 桥 主 动 发 送 配 置 BPDU ， 其 他 桥 在 收 到 上 游 传 来 的 配置 BPDU 后 才 触 发 发 送 
自己 的 配置 BPDU。 具 体 来 说 ， 配 置 BPDU 在 以 下 3 种 情况 下 会 产生 。 
(1) 只 要 端口 使 能 STP， 则 配置 BPDU 就 会 按照 Hello Time 定 时 器 规定 的 时 间 间 隔 从 指定 端口 发 出 。 
(2) 当 根 端口 收 到 配置 BPDU 时 ， 根 端口 所 在 的 设备 会 向 自己 的 每 一 个 指定 端口 复制 一 份 配置 
BPDU。 
(3) 当 指 定 端口 收 到 比 自己 差 的 配置 BPDU 时 ， 会 立刻 向 下 游 设 备 发 送 自己 的 配置 BPDU。 
配置 BPDU 的 长 度 至 少 要 35 个 字 节 ， 包 含 了 桥 ID、 路 径 开 销 和 端口 ID 等 参数 ， 如 图 8-8 所 示 。 只 有 当 “ 发 
送 者 BID” 或 “发 送 端口 PID” 两 个 字段 中 至 少 有 一 个 和 本 桥接 收 端口 不 同 ， 所 收 到 的 这 个 BPDU 报 文才 会 被 处 
里 ， 否 则 丢弃 。 这 样 避免 了 处 理 和 本 端口 信息 一 致 的 BPDU 报 文 。 


































































































































































































































































































































































































































































































2 1 1 1 8 4 bytes 
Protocol Message Root Path 
Message > Forward 
8 2 2 2 2 2 bytes 





图 8-8 STP BPDU 报 文 格式 





























图 8-8 中 所 示 的 配置 BPDU 报 文 格式 中 的 各 部 分 说 明 如 表 8-1 所 示 。 其 中 Flags (标志 ) 字段 是 一 个 字 节 
长 ， 但 在 STP 配 置 BPDU 中 只 用 了 最 高 位 和 最 低位 两 个 比特 位 ， 如 图 8-9 所 示 ， 字 上 段 中 的 这 两 位 说 明 参 见 表 8- 
中 的 Flags 字 段 说 明 。 
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表 8-1 配置 BPDU 报 文 基 本 格式 





字段 字 节 数 说 明 





Protocol Identifier 


























(协议 ID) 2 | 总 是 为 0 
Protocol Version 
(协议 版 本 ) 并 | 焉 征 为 0 
Message Type 指示 当前 BPDU 消息 类 型 : 0x00 为 配置 BPDU，0x80 为 TCN 
(消息 类 型 ) BPDU 
Flags j 最 低位 =TC (Topology Change， 拓 扑 变化 ) 标志， 最 高 位 =TCA 
(标志 ) (Topology Change Acknowledgment， 拓 扑 变化 确认 ) 标志 
Root Identifier 8 指示 当前 根 桥 的 BID( 即 “ 根 ID”)， 由 2 字 节 的 桥 优 先 级 和 6 字 
( 根 ID) 节 MAC 地 址 构成 
( 根 路 径 开销 > 4 指示 发 送 该 BPDU 报 文 的 端口 累计 到 根 桥 的 开销 
Bridge Identifier 8 指示 发 送 该 BPDU 报 文 的 交换 设备 的 BID( 即 “发 送 者 BID ”)， 
( 桥 ID) 也 是 由 2 字 节 的 桥 优 先 级 和 6 字 节 MAC 地 址 构成 
Eom 2 “| 指示 发 送 该 BPDU 报 文 的 端口 ID， 即 “发 送 端口 ID” 
(端口 ID) 
指示 该 BPDU 报 文 的 生存 时 间 ， 即 端口 保存 BPDU 的 最 长 时 间 ， 
过 期 后 将 删除 ， 要 在 这 个 时 间 内 转发 才 有 效 。 如 果 配 置 BPDU 是 
Message Age 直接 来 自 根 桥 的 ， 则 Message Age 为 0， 如 果 是 其 他 桥 转发 的 ， 
(消息 生存 时 间 ) 则 Message Age 是 从 根 桥 发 送 到 当前 桥接 收 到 BPDU 的 总 时 间 ， 


包括 传输 延 时 等 。 实 际 实现 中 ， 配 置 BPDU 报 文 经 过 一 个 桥 ， 
Message Age 增加 1 











( 续 表 ) 


Max Age 
(最 大 生存 时 间 ) 





Hello Time 
(Hello 消息 定时 器 ) 
Forward Delay 指示 控制 Listening 和 Leaming 状态 的 持续 时 间 , 表示 在 拓扑 结构 


指示 发 送 两 个 相 邻 BPDU 的 时 间 间 隔 





(转发 延 时 ) 改变 后 ， 交 换 机 在 发 送 数据 包 前 维持 在 监听 和 学 习 状 态 的 时 间 











图 8-9 STP BPDU 中 的 Flags 字 段 结构 


2. TCN BPDU 
TCN BPDU 是 指 在 下 游 拓扑 发 生变 化 时 向 上 游 发 送 拓扑 变化 通知 ， 直 到 根 桥 。TCN BPDU 在 如 下 两 种 
情况 下 会 产生 。 
(1) 端口 状态 变 为 Forwarding 状 态 ， 且 该 设备 上 至 少 有 一 个 指定 端口 。 
(2) 指定 端口 在 收 到 TCN BPDU 后 向 根 桥 复制 TCN BPDU。 
TCN BPDU 中 的 内 容 比 较 简单 ， 只 有 表 8-1 中 列 出 的 前 3 个 字段 :协议 一 、 协 议 版 本 和 消息 类 型 ， 长 度 
有 4 个 字 节 ， 且 “消息 类 型 ”字段 是 固定 值 0x80。 
3. BPDU 优 先 级 
前 面 说 了 ， 当 桥 收 到 其 他 桥 发 来 的 配置 BPDU 时 会 视 情况 对 自己 的 配置 BPDU 进 行 更 新 ， 那 么 当 桥 的 多 
个 端口 收 到 多 个 不 同 的 配置 BPDU 时 该 以 哪个 为 准 呢 ? 这 就 要 使 用 配置 BPDU 的 优先 级 来 区 分 了 。 即 当 同 一 
桥 收 到 了 多 个 不 同 的 配置 BPDU 时 ， 优 先 级 高 的 BPDU 则 采用 ， 其 他 的 将 被 丢弃 。 假 定 有 两 条 配置 BPDU X 
和 Y， 则 它们 的 比较 顺序 如 下 。 
(1) 如 果 X 的 根 桥 ID 小 于 Y 的 根 桥 ID， 则 X 优 于 Y。 
(2) 如 果 X 和 Y 的 根 桥 ID 相 同 ， 但 X 的 根 路 径 开 销 小 于 Y， 则 X 优 于 Y。 
(3) 如 果 X 和 Y 的 根 桥 ID， 以 及 路 径 开 销 都 相同 ， 但 X 的 桥 ID 小 于 Y， 则 X 优 于 Y; 
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(4) 如 果 X 和 Y 的 根 桥 ID、 根 路 径 开 销 以 及 桥 ID 都 相同 ， 但 X 的 端口 人 D 小 于 Y， 则 X 优 于 Y。 


8.1.5 STP 的 不 足 之 处 





STP 协 议 虽 然 能 够 解决 环 路 问题 ， 












































县 乡 





但 是 





于 网 络 拓扑 收敛 慢 ， 





响 了 用 户 通信 质量 。 因 为 在 STP 协 议 中 








尿 A 
































































































































































































































任何 端口 要 从 Blocking 〈 阻 塞 ) 状态 转换 到 Forwarding 〈 转 发 ) 状态 必须 经 过 两 倍 转发 延 时 〈 包 括 由 监听 状 
态 到 学 习 状态 的 等 待 时 间 和 由 学 习 状态 到 转发 状态 的 等 待 时 间 ) ， 至 少 30s 时 间 。 如 果 网 络 中 的 拓扑 结构 频 
繁 变 化 ， 网 络 也 会 随 之 频繁 失去 连通 性 ， 从 而 导致 用 户 通信 频繁 中 断 ， 这 是 用 户 无 法 忍受 的 。 

STP 的 不 足 主要 体现 在 以 下 几 个 方面 。 

(1) 首先 ，STP 没 有 细致 区 分 端口 状态 和 端口 角色 ， 不 利于 初学 者 学 习 及 部 署 。 

在 STP 协 议 中 划分 了 5 种 端口 状态 ， 然 而 其 中 的 Listening、Learning 和 Blocking 这 三 种 状态 并 没有 实质 上 
的 区 别 ， 都 不 转发 用 户 流量 。 另 外 ， 从 使 用 和 配置 角度 来 讲 ， 端 口 之 间 最 本 质 的 区 别 并 不 在 于 端口 状态 ， 
而 是 在 于 端口 扮演 的 角色 。 而 在 STP 中 ， 根 端口 和 指定 端口 既 可 能 都 处 于 Listening 状 态 ， 又 可 能 都 处 于 
Forwarding 状 态 ， 没 有 一 个 很 好 的 体现 。 





(2) 其 次 ，STP 协 议 采 用 














化 ， 所 以 收敛 速度 慢 。 


(3) 最 后 














正 
Protocol， 快 速 











8.2 STP 拓 扑 计 算 原 理 深入 剖析 


，STP 协议 中 的 算法 规定 在 稳定 的 拓扑 中 只 有 根 桥 才 能 主动 发 出 
设备 只 能 被 动 地 进行 转发 ， 直 到 传 遍 整个 STP 网 络 。 这 也 是 导致 拓扑 收敛 | 
因 STP 有 以 上 这 些 不 足 ，IEEE 于 2001 年 发 布 的 802.1W 标 准 
生成 树 协议 ) 。 该 协议 基 了 
许多 不 足 进行 了 比较 多 








的 修改 和 补充 。 























STP 协 议 拓 扑 结构 生成 树 的 i 
节 已 介绍 了 STP 中 的 根 桥 、 根 端 








DD 











FSTP 协 议 ， 在 绝 大 多 数 方 再 


十 算 过 程 要 


的 是 被 动 算法 ， 依 赖 定时 器 〈 如 转发 延 时 定时 器 ) 等 待 的 方式 判断 拓扑 变 




















配置 BPDU 报 文 ， 而 
曼 的 主要 原因 之 一 。 
义 了 RSTP (Rapid Spanning-Tree 
j 都 是 直接 继承 ， 但 也 针对 STP 协 议 的 
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区 分 初始 化 阶段 和 拓扑 结构 稳定 后 这 两 个 阶段 。 在 本 章 前 面 8.1.2 











8.2.1 生成 树 初 始 化 阶段 的 











人 色 选 























网 络 ! 





所 有 


的 桥 设 备 





BPDU， 而 不 转发 用 户 流 


js 


hn 
rt 
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里 ， 











桥 、 根 端 
1. 根 桥 的 选 


“ 根 桥 的 选举 ”就 是 在 交换 网 络 中 所 有 运行 STP 协议 的 交换 机 上 选举 出 一 个 只 





口 和 指定 端口 
举 





的 选举 工作 。 

















口 和 指定 端口 
STP 的 这 三 个 要 素 的 选举 原理 ， 以 及 在 拓扑 稳定 阶段 ， 因 拓扑 发 生变 化 而 引起 的 生成 树 拓扑 改变 原理 。 


使 能 STP 协 议 后 ， 每 一 个 桥 设备 都 认为 自己 是 根 桥 。 此 时 每 台 设 备 仅仅 收发 配置 
所 有 的 端口 都 处 于 Listening 状 态 。 所 有 桥 设 备 通 过 交换 配置 BPDU 后 才 进 




















的 选举 规则 。 本 节 要 通过 有 具体 的 示例 再 次 深入 剖析 在 初 化 阶段 
























































行 根 





一 的 根 桥 。“ 根 桥 ? 是 STP 生 











成 树 的 最 顶端 交换 设备 ， 是 STP 生 成 树 的 “ 树 根 ”。 根 桥 的 选举 依据 是 各 桥 的 配置 BPDU 报 文中 BID 〈 桥 ID ) 














字段 值 ，BID 字 段 值 最 小 的 交换 机 将 成 为 根 桥 。 而 桥 配 置 BPDU 报 文中 BID 字段 共有 8 个 字 节 ， 即 2 个 字 节 的 





桥 优 先 级 和 6 个 字 节 的 桥 背 板 MAC， 甚 中 桥 优 先 级 的 取 值 范围 是 0 一 65 535， 缺 省 
比较 时 ， 先 比较 桥 优 多 


地 址 小 的 为 根 桥 。 





换 网 络 中 通过 各 桥 

















在 初始 化 过 程 中 ， 根 桥 的 选举 要 经 历 两 个 主要 过 程 : 一 是 每 桥 上 确定 

















值 是 32 768。 在 进行 BID 









































级 ， 优 先 级 值 小 的 为 根 桥 ;， 当 桥 优 先 级 值 相等 时 ， 再 比较 桥 的 背 板 MAC 地 址 ，MAC 














自己 的 配置 BPDU; 二 是 在 整个 交 


























自己 发 送 的 配置 BPDU 进 

















行 比较 选举 整个 交换 网 络 中 的 根 桥 。 














(1) 桥 配 置 BPDU 的 确定 。 一 开始 每 个 桥 都 认为 自己 是 根 桥 ， 所 以 在 每 个 端口 所 发 出 的 配置 BPDU 报 
文中 ,“ 根 ID? 字 段 都 是 用 各 自 的 BID,“ 根 路 径 开销 ?字段 值 均 为 0，“ 发 送 者 BID? 字 段 是 自己 的 BID, “发 送 
端口 PID” 字 段 是 发 送 该 BPDU 端 口 的 端口 ID。 

每 个 桥 在 向 外 发 送 自己 的 配置 BPDU 的 同时 也 会 收 到 其 他 桥 发 送 的 配置 BPDU。 但 桥 端口 并 不 会 对 收 
到 的 所 有 配置 BPDU 都 用 来 更 新 自己 的 配置 BPDU， 而 是 先 会 进行 配置 BPDU 优 先 级 比较 。 当 端口 收 到 的 配 
置 BPDU 比 本 端口 的 配置 BPDU 的 优先 级 低 时 ， 将 丢弃 所 收 到 的 这 个 配置 BPDU， 仍 保留 自己 原来 的 配置 
BPDU， 否 则 桥 将 收 到 的 配置 BPDU 作为 该 端口 的 配置 BPDU。 然 后 ， 桥 再 将 自己 所 有 端口 的 配置 BPDU 进 
行 比较 ， 选 出 最 优 的 BPDU 作 为 本 桥 的 配置 BPDU。 有 关 BPDU 优 先 级 的 比较 参见 本 章 8.1.4 节 。 
(2) 根 桥 的 确定 。 每 个 桥 的 最 优 配 置 BPDU 确 定 后 ， 以 后 各 桥 间 交换 的 配置 BPDU 都 是 各 自 最 优 的 配 
置 BPDU 了 。 如 图 8-10 所 示 ， 用 全 标注 的 四 元 组 表示 了 由 根 桥 BID (图 中 以 S1_MAC 和 S2_MAC 代表 两 
台 设 备 的 BID) 、 累 计 根 路 径 开 销 、 发 送 者 BID (SBID) 、 发 送 端口 PID 构 成 的 有 序 组 。 配 置 BPDU 会 按照 
Hello Timer 规 定 的 时 间 间 隔 来 发 送 ， 缺 省 的 时 间 是 2s。 


{S1_MAC,0,S1 MAC,A_PID} 






























































































































































































































































































































































Sl {S2 MAC,0,S2 MAC,B PID} 52 


图 8-10 初始 信息 交互 过 程 示 例 

















一 旦 某 个 端口 收 到 比 自 己 优 的 配置 BPDU 报 文 ， 此 端口 就 提取 该 配置 BPDU 报 文中 的 某 些 信息 更 新 自己 
的 信息 。 该 端口 存储 更 新 后 的 配置 BPDU 报 文 后 ， 立 即 停止 发 送 自己 的 配置 BPDU 报 文 。 在 图 中 ， 如 果 S2 的 
端口 B 由 于 接收 到 了 来 自 51 的 更 好 的 配置 BPDU， 从 而 认为 此 时 Sl 是 根 桥 ， 然 后 S2 的 其 他 端口 再 发 送 BPDU 
的 时 候 ， 在 根 桥 ID 字 段 里 面 填充 的 就 是 S1_BID 了。 此 过 程 不 断交 互 进行 ， 直 到 所 有 交换 设备 的 所 有 端 
都 认为 根 桥 是 相同 的 ， 说 明 根 桥 已 经 选择 完毕 。 
在 如 图 8-11 所 示 的 交换 网 络 中 列 出 了 S1、S2 和 S3 的 桥 优 先 级 和 桥 MAC 地 址 。 通 过 比较 发 现 三 台 交 换 机 
的 桥 优 先 级 都 一 样 ， 均 为 缺 省 的 32 768， 这 时 就 要 进一步 比较 各 交换 机 的 MAC 地 址 ， 通 过 比较 可 以 发 现 S1 
的 MAC 地 址 最 小 ， 所 以 最 终 S1 将 选举 作为 根 桥 。 


0000-0C12-3458 
、 S2 













































































































































































































































Sl 3 0000-0C12-3457 


root 
bridge 







MAC 0000-0C12-3456 





图 8-11 根 桥 选 举 示 例 


2. 根 端口 的 选举 
“ 根 端 口 的 选举 ”就 是 在 所 有 非 根 桥 上 的 不 同 端口 之 间 选 举 出 一 个 到 根 桥 最 近 的 端口 。 当 然 这 个 “最 近 ” 的 
衡量 标准 不 是 根据 到 达 根 桥 所 经 过 的 桥 数 ， 而 是 根据 端口 到 根 桥 的 累计 根 路 径 开销 最 小 来 判定 的 。 实 质 上 










































































是 非 根 桥 上 接收 到 最 优 配置 BPDU 的 那个 端口 即 为 根 端口 。 每 个 非 
于 一 个 设备 来 说 有 且 只 有 一 个 。 





根 桥 设 备 都 要 选择 一 个 根 端 口 ， 根 端口 对 











累计 根 路 径 开销 的 计算 方法 是 累加 从 端口 到 达 根 桥 所 在 路 径 的 各 端口 (除根 桥 上 的 指定 端口 外 ) 的 各 




















段 链 路 的 路 径 开 销 值 〈 也 称 链 路 开销 值 ) 。 这 里 要 特别 注意 的 是 ， 












































同一 交换 机 上 不 同 端口 之 间 的 路 径 开 销 


























那个 端口 作为 根 端口 。 

















两 条 路 径 : 一 条 是 通过 port5 端 口 直接 到 达 S1 的 port1 端 




































































值 为 0 。 如 果 同 一 桥 上 有 两 个 以 上 的 端口 计算 得 到 的 累计 根 路 径 开 销 相 同 ， 那 么 选择 收 到 发 送 者 BID 最 小 的 


在 如 图 8-12 所 示 的 交换 网 络 中 ，S1 为 根 桥 ， 这 时 就 需要 选举 S2 和 S3 非 根 桥 的 根 端口 。S2 到 达 根 桥 S1 有 
其 累计 根 路 径 开销 很 容易 得 出 ， 就 是 port5 端 口 自 
身 的 路 径 开 销 值 ， 即 图 中 标的 是 19。 另 一 条 是 从 port6 端 口 出 发 ， 经 过 S3 的 port3 和 port4 端 口 ， 到 达 根 桥 S1 的 
port2 端 口 ， 其 累计 根 路 径 开 销 值 就 是 port6、port3 和 port4 端 口 的 路 径 开 销 值 之 和 。 从 图 中 的 标注 可 以 知道 ， 
















































































port6 端 口 的 路 径 开销 值 为 也 为 19， 但 因为 port3 到 port4 端 口 在 同一 交换 机 S3 上 ， 所 以 port3 到 port4 端 口 的 路 径 
开销 值 为 0，port4 到 S1 的 port2 端 口 的 路 径 开销 值 也 为 19， 这 样 port6 端 口 累计 根 路 径 开销 值 就 是 
19+0+19=38， 很 明显 高 于 port5 端 口 的 累计 根 路 开销 值 19， 所 以 port5 端 口 最 终 选举 为 S2 的 根 端口 。 用 同样 的 












































方法 可 以 得 出 S3 桥 上 的 根 端口 为 port4。 





A S2 






19(cost) 


19(cost) 


图 8-12 根 端口 选举 示例 





3. 指定 端口 的 选举 
“指定 端口 的 选举 ”是 在 每 一 个 物理 网 段 的 不 同 端口 之 间 选 举 出 



















































































口 root port 

















一 个 指定 端口 。“ 指 定 端口 ”与 前 面 所 说 



































的 “ 根 端口 ?相对 ， 它 可 以 理解 为 离 下 游 设备 最 近 的 端口 ， 是 本 物理 












































网 段 〈 这 里 的 “网 段 ?是 指 一 个 交换 机 端口 








所 连接 的 所 有 设备 ) 中 唯一 可 以 接收 下 游 设备 数据 的 端口 。 它 是 依次 根据 以 下 三 项 条 件 来 判定 的 。 








(1) 某 网 段 到 根 桥 的 路 径 开销 最 小 。 
(2) 接收 数据 时 发 送 方 〈 也 就 是 链 路 对 端的 桥 ) 的 桥 ID 最 小 


AL 











(3) 发 送 方 端口 ID 最 小 〈 端 口 D 有 16 位 ， 它 是 由 8 位 端口 优先 级 和 8 位 端口 编 号 组 成 的 ， 其 中 端口 优 






























































先 级 的 取 值 范围 是 0 一 240， 缺 省 值 是 128， 可 以 修改 ， 但 必须 是 16 的 倍数 ) 。 











如 图 8-10 所 示 ， 假 定 S1 的 MAC 地 址 小 于 S2 的 MAC 地 址 ， 则 S1 为 根 桥 。 根 据 上 面 的 第 一 项 指定 端口 判定 
















































































此 可 以 得 出 图 8-10 所 示 的 S1-S2 间 网 段 的 指定 桥 是 S1。 
网 络 收敛 后 ， 只 有 指定 端口 和 根 端口 可 以 处 于 转发 状态 。 其 他 
量 。 根 桥 的 所 有 端口 都 是 指定 端口 〈 除 根 桥 物理 上 存在 环 路 ) 。 





































































































原则 可 以 得 出 S1 的 端口 A 会 成 为 指定 端口 。 在 一 个 物理 网 段 上 拥有 指定 端口 的 设备 被 称 作 该 网 段 的 指定 桥 ， 








端口 都 是 Blocking 状 态 ， 不 转发 用 户 流 





现在 再 来 看 如 图 8-13 所 示 交 换 网 络 中 指定 端口 的 选举 。S1 为 根 桥 ， 这 样 很 容易 根据 前 面 列 出 的 指定 端 
口 判定 条 件 中 的 第 一 项 得 出 在 $2-S1 网 段 ， 以 及 S3-S1 网 段 中 的 指定 端口 分 别 为 S1 的 portL 和 port2 端 口 。 而 在 




















S3-52 网 段 中 ， 由 于 S3 和 Ss2 桥 到 达 根 桥 的 路 径 开 销 均 为 19， 所 以 这 里 要 比较 前 面 提 到 的 第 二 项 条 件 ， 即 发 








送 方 的 桥 ID 〈 即 图 中 标识 的 SBID) 大 小 了 。S3 的 port3 的 发 送 方 的 桥 ID 为 32768.000-0C12-3457， 而 S2 的 
port6 的 发 送 方 的 桥 ID 为 32768.000-0C12-3458， 经 过 比较 发 现 S3 的 port3 的 发 送 方 的 桥 ID 更 小 ， 所 以 最 终 选 举 
为 S3-S2 网 段 的 指定 端口 。 这 样 一 来 就 可 确定 port6 端 口 为 阻塞 端口 了 。 























BID:32768.0000-0C12-3456 
攻 S2 RPC:38 

~ SBID:32768.0000-0C12-3458 
PID:0806 










BID:32768.0000-0C12-3456 
RPC:38 
SBID:32768.0000-0C12-3457 
PID:0803 


OD root port 
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XK blocked port 





图 8-13 指定 端口 选举 示例 





8.2.2 拓扑 发 生变 化 后 的 角色 选举 




















拓扑 稳定 后 ， 根 桥 仍 然 按 照 Hello 定 时 器 规定 的 时 间 间 隔 发 送 配置 BPDU 报 文 ， 非 根 桥 设 备 从 根 端口 收 
到 配置 BPDU 报 文 ， 通 过 指定 端口 转发 。 如 果 接 收 到 优先 级 比 自己 高 的 配置 BPDU， 则 非 根 桥 设备 会 根据 收 
到 的 配置 BPDU 中 携带 的 信息 更 新 自己 相应 的 端口 存储 的 配置 BPDU 信 息 。 
在 网 络 拓 扑 结 构 发 生变 化 后 ， 下 游 设备 会 不 间断 地 向 上 游 设备 发 送 TCN BPDU 报 文 。 上 游 设备 在 收 到 
下 游 设 备 发 来 的 TCN BPDU 报 文 后 ， 只 有 指定 端口 处 理 TCN BPDU 报 文 。 其 他 端口 也 有 可 能 收 到 TCN BPDU 
报 文 ， 但 不 会 处 理 。 上 游 设备 会 使 用 Flags 字 段 中 TCA〔 拓 扑 变 化 确认 ) 标志 位 置 1 的 配置 BPDU 报 文 发 送 给 
下 游 设备 ， 告 知 下 游 设 备 停止 发 送 TCN BPDU 报 文 。 与 此 同时 ， 上 游 设备 复制 一 份 TCN BPDU 报 文 ， 向 根 
桥 方向 发 送 。 当 根 桥 收 到 TCN BPDU 报 文 后 ， 根 桥 会 使 用 Flags 字 段 中 TC 拓扑 变化 ) 标志 位 置 1 的 配置 
BPDU 报 文 向 对 应 下 游 设备 回 送 ， 通 知 下 游 设备 直接 删除 发 生 故 障 的 端口 的 MAC 地 址 表 项 。 
1 此 可 以 看 出 ， 在 发 生 拓扑 变化 时 ， 下 游 设备 使 用 TCN BPDU 报 文 向 上 游 设备 通知 ， 但 上 游 设备 使 用 
的 是 TC 位 ， 或 者 TCA 位 置 1 的 配置 BPDU， 而 不 是 TCN BPDU 通 知 下 游 设备 。 即 TCN BPDU 报 文 用 来 向 上 游 
设备 乃至 根 桥 通知 拓扑 变化 ，TCA 标 志 位 置 1 的 配置 BPDU 报 文 主要 是 上 游 设备 用 来 告知 下 游 设备 已 经 知道 
拓扑 变化 ， 通 知 下 游 设 备 停止 发 送 TCN BPDU 报 文 ， TC 标志 位 置 1 的 配置 BPDU 报 文 主要 是 上 游 设 备用 来 告 
知 下 游 设 备 拓扑 发 生变 化 ， 要 求 下 游 设备 直接 删除 有 故障 的 端口 的 MAC 地 址 表 项 ， 从 而 达到 快速 收敛 的 目 
的 。 










































































































































































































































































































































































下 面 以 图 8-13 为 例 说 明 根 桥 、 根 桥 的 指定 端口 分 别 发 生 故 障 时 ， 网 络 拓 扑 如 何 收敛 。 

当 根 桥 发 生 故 障 时 ， 设 备 S2 和 设备 S3 之 间 将 重新 选举 根 桥 。 设 备 S2 和 设备 S3 之 间 根 据 交 互 的 配置 
BPDU 报 文 ， 选 出 新 的 根 桥 S3， 如 图 8-14 所 示 。 再 假设 根 桥 指定 port1 端 口 发 生 故 障 时 ，S2 和 S3 通 过 交互 配置 
BPDU 报 文 将 port6 选 举 为 根 端口 ， 如 图 8-15 所 示 。 同 时 ，port6 变 为 forwarding 状 态 后 ， 会 向 外 发 送 TCN 报 
文 ， 根 桥 收 到 TCN 报 文 后 向 其 他 设备 发 送 TC 报 文 ， 通 知 其 他 设备 直接 删除 MAC 表 项 。 























































































































8.3 RSTP 对 STP 的 改进 








QQ root port 
© designated port 





图 8-14 根 桥 发 生 故 障 时 重新 选举 新 的 根 桥 的 示例 
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0 root port 
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图 8-15 指定 端口 发 生 故 障 时 重新 选举 新 的 根 端口 的 示例 


继 IEEE 802.1D 定 义 了 STP 标 准 后 ，IEEE 又 推出 了 802.1w 这 个 草案 作为 802.1D 的 补充 ， 并 定义 了 RSTP 


标准 。 在 新 版 本 的 802.1D (2004) 中 
































已 经 接纳 了 RSTP 标 准 ， 取 代 了 原来 的 STP。RSTP 保 留 了 STP 的 大 部 分 


算法 和 计时 器 ， 只 在 一 些 细节 上 做 了 改进 。 但 这 些 改进 相当 关键 ， 极 大 地 提升 了 STP 的 性 能 ， 使 其 能 满足 如 














今 低 延 时 高 可 靠 性 的 网 络 要 求 。 本 章 后 面 将 要 介绍 的 MSTP， 在 单个 实例 中 的 算法 和 RSTP 几 乎 一 模 一 样 ， 
所 以 可 以 说 从 STP 发 展 到 RSTP 的 这 套 算法 ， 是 整个 生成 树 协议 的 精髓 。 

根据 8.1.5 节 介绍 的 STP 协 议 的 不 足 ，RSTP 协 议 删 除了 那 3 种 区 分 不 明显 的 3 种 端口 状态 ， 另 外 新 增加 了 
两 种 端口 角色 ， 并 且 解 除了 端口 属性 中 端口 状态 和 端口 角色 的 关联 ， 使 得 可 以 更 加 精确 地 描述 端口 ， 从 而 
使 得 初学 者 更 易学 习 协 议 ， 同 时 也 加 快 了 拓扑 收敛 。 




















8.3.1 新 增 三 种 端口 角色 


























RSTP 的 端口 角色 共有 5 种 ， 根 端口 、 指 定 端 口 、Alternate 〈 替 代 ) 端口 、 
色 如 图 8-16 所 示 。 


Edge (边缘 ) 。 前 4 种 端 
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图 8-16 RSTP 的 4 种 端口 角色 























当 “ 根 端口 ”或 “指定 端口 ”失效 时 , “替代 端口 ”或 “备份 端口 ”就 会 无 延 时 地 进入 转发 状态 ， 提 高 了 收敛 效 
率 。Edge 端 口 是 管 理 员 根据 实际 需要 配置 的 一 种 指定 端口 ， 用 以 连接 PC 或 不 需要 运行 STP 的 下 游 交 换 机 。 
管理 员 需 要 保证 该 端口 下 游 不 存在 环 路 ， Edge 端 口 能 够 直接 进入 Forwarding 状 态 。 
在 RSTP 中 ,“ 根 端口 ?和 “指定 端口 ”的 作用 与 STP 协 议 中 对 应 的 端口 角色 一 样 ， 而 Alternate 端 口 和 Backup 
端口 从 配置 BPDU 报 文 发 送 角 度 来 看 : Altemate 端 口 就 是 由 于 学 习 到 其 他 桥 发 送 的 配置 BPDU 报 文 而 阻塞 的 
端口 ，Backup 端 口 就 是 由 于 学 习 到 自己 发 送 的 配置 BPDU 报 文 而 阻塞 的 端口 。 从 用 户 流量 角度 来 看 : 
Alternate 端 口 提 供 了 从 指定 桥 到 根 桥 的 另 一 条 可 切换 路 径 ， 作 为 根 端口 的 备份 端口 ， 而 Backup 端口 是 作为 
指定 端口 的 备份 ， 提 供 另 一 条 从 根 桥 到 相应 网 段 的 备份 通路 。 
给 一 个 RSTP 域 内 所 有 端口 分 配角 色 的 过 程 就 是 整个 拓扑 收敛 的 过 程 ， 远 比 STP 协 议 中 要 同时 顾及 端口 
角色 及 端口 状态 的 效率 高 。 















































































































































































































































8.3.2 重新 划分 端口 状态 











在 端口 状态 上 ，RSTP 也 对 STP 做 了 比较 大 的 改进 ， 把 STP 的 5 种 状态 缩减 为 3 种 。 并 且 是 根据 端口 是 否 
转发 用 户 流量 和 学 习 MAC 地 址 来 进行 划分 的 ， 具 体 如 下 。 
(1) 如 果 不 转 发 用 户 流量 也 不 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Discarding (丢弃 状态。 

(2) 如 果 不 转 发 用 户 流量 但 是 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Learning 〈 学 习 ) 状态 。 

(3) 如 果 既 转发 用 户 流量 又 学 习 MAC 地 址 ， 那 么 端口 状态 就 是 Forwarding 〈 转 发 ) 状态 。 

表 8-2 是 对 STP 中 的 端口 状态 与 RSTP 的 端口 状态 的 比较 。 从 中 可 以 看 出 ，RSTP 中 的 端口 状态 和 端口 
角色 是 没有 必然 关联 的 。 由 以 上 可 以 看 出 ，RSTP 只 有 3 种 端口 状 态 : Discarding 〈 丢 弃 ) 、Leaning 〈 学 
习 ) 和 Forwarding (转发) ， 它 把 STP 中 的 Blocking 〈 阻 塞 )》 、Listening 〈 监 听 ) 和 Disabled (禁用 )〉 三 种 状 
态 统 一 用 一 种 状态 一 一 Discarding (丢弃 ) 替代 。 这 样 的 好 处 就 是 一 个 端口 从 初始 状态 转变 为 转发 状态 只 需 
要 一 个 转发 延 时 周期 时 间 ， 也 就 是 从 学 习 状 态 到 转发 状态 所 需 等 待 的 时 间 。 在 活跃 拓扑 中 ， 只 有 “学 
习 ” 和 “转发 "这 两 种 状态 的 端口 。 





































































































































































































表 8-2 STP 与 RSTP 端 口 状态 比较 

















怕 不 心 : ER 学 习 了 
关口 状态 | 需 口 状 态 | 。 对 应 的 虹口 角 色 。 | “6P3U | WAC 地址 | 冯 关 下 所 
Forwarding | Forwarding | 包括 根 端口 、 指 定 端口 是 是 是 
Leaming | Leaming | 包括 根 端 口 、 指 定 端口 | 是 总 否 
Listening | Discarding | 包括 根 端口 、 指 定 端口 | ” 枪 在 咎 





包括 Alternate 端口 、 
Backup 端口 





Blocking Discarding 














Disabled | Discarding 包括 Disable 





8.3.3 BPDU 的 改变 



































RSTP 协 议 与 STP 协 议 一 样 也 是 使 用 BPDU 消 息 格式 进行 各 桥 间 的 拓扑 信息 交互 的 ， 但 是 它 只 有 配置 
BPDU， 没 有 TCN BPDU， 且 RSTP 的 配置 BPDU 称 为 RSTBPDU。RSTP 在 BPDU 方 面 的 改变 主要 体现 在 
BPDU 格 式 ， 在 发 生 拓扑 改变 时 BPDU 的 使 用 ， 以 及 对 BPDU 的 处 理 3 个 方面 ， 下 面 分 别 予 以 具体 介绍 。 

1. BPDU 格 式 上 的 改变 
在 BPDU 格 式 上 ，RSTP 的 RST BPDU 与 STP 的 配置 BPDU 没 做 什么 重大 修改 ， 只 是 对 STP 配 置 BPDU 中 的 
Flag 标志 ) 字段 进行 了 填充 ， 使 从 RST BPDU 中 就 可 以 看 出 对 应 端口 的 端口 角色 ， 另 外 就 是 在 BPDU 类 型 
值 上 做 了 改变 。 有 具体 表现 在 以 下 两 个 字段 。 

(1) Type 字段 RST BPDU 类 型 不 再 是 0， 而 是 2， 所 以 运行 STP 的 设备 收 到 RSTP 的 RST BPDU 时 会 丢 





































































































































































































其 . 























(2) Flag 字 段 : 在 RSTBPDU 中 使 用 了 在 STP 配 置 BPDU 中 该 字段 保留 的 中 间 6 位 〈 最 高 位 仍 为 TCA， 
最 低位 仍 为 TC) ， 如 图 8-17 所 示 。 中 间 6 位 的 作用 如 下 。 

(QD Agreement: 确认 标志 位 ， 位 于 Bit6， 当 该 位 置 1 时 ， 表 示 该 BPDU 报 文 为 快速 收敛 机 制 中 的 
Agreement 报 文 ， 是 对 所 收 到 的 Proposal BPDU〈 此 时 Bitl 位 置 1) 的 提议 进行 确认 。RSTP 中 定义 了 
Proposal/Agreement 机 制 ( 提 议 / 确 认 机 制 ， 即 P/A 机 制 )， 可 使 指定 端口 通过 与 对 端 端 口 进 行 一 次 握手 即 可 
快速 进入 转发 状态 ， 其 中 不 需要 任何 定时 器 。 

@Forwarding: 转发 状态 标志 位 ， 位 于 Bit5， 当 该 位 置 1 后 表示 发 送 该 BPDU 报 文 的 端口 处 于 Forwarding 

(Leaming: 学 习 状 态 标志 位 ， 位 于 Bit4， 当 该 位 置 1 后 表示 发 送 该 BPDU 报 文 的 端口 处 于 Learning 状 
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由 Port role: 端口 角色 标志 位 ， 位 于 Bit3 和 Bit2 共 两 位 ， 取 值 为 00 时 表示 发 送 该 BPDU 的 端口 的 角色 未 
知 ， 为 01 时 表示 该 端口 为 Alternate 端 口 或 Backup 端 口 ， 为 10 时 表示 该 端口 为 根 端口 ， 为 11 时 表示 该 端口 为 指 
定 端口 。 

@) Proposal: 提议 标志 位 ， 位 于 Bit1， 当 该 位 置 1 时 表示 该 BPDU 报 文 为 快速 收敛 机 制 中 的 Proposal 
文 。 对 端 在 收 到 该 报 文 后 ， 如 果 同 意 ， 则 需要 发 送 Bit6 位 置 1 的 确认 报 文 。 


ET CT ET EN ED 






















































































Fa 


























图 8-17 RSTP BPDU 中 的 Flags 字 段 结构 

































































从 以 上 介绍 可 以 得 知 ，RSTP 的 Flags 字 段 增加 了 端口 属性 和 状态 ， 其 中 Bit1 和 Bit6 两 个 字段 用 于 点 到 点 
链 路 端口 快速 收敛 中 的 消息 报 文 。 常 见 的 几 种 Flags 需 要 记 住 ， 2c， 即 00101100， 表 示 发 送 BPDU 的 端口 状 
态 为 转发 状态 ， 端 口角 色 为 指定 端口 ，0e， 即 00001110， 表 示 是 由 指定 端口 发 送 的 提议 BPDU 报 文 ; 6c， 
即 01101100， 表 示 是 由 处 于 转发 状态 的 指定 端口 发 送 的 确认 BPDU 报 文 ， 2d， 即 00101101， 表 示 是 由 处 于 
转发 状态 的 指定 端口 发 送 的 拓扑 更 改 BPDU 报 文 。 

注意 

运行 STP 的 设备 会 丢弃 收 到 的 RST BPDU， 上 有 目前 RSTP 交 换 机 都 提供 STP 兼 容 模 式 ， 运 行 在 STP 兼 容 模式 
的 端口 会 发 送 和 接收 配置 BPDU， 表 现 的 特性 也 和 STP 类 似 。 除 了 配置 BPDU 外 ，RSTP 同 样 有 TCN BPDU， 
类 型 值 也 为 0x80。 

2. 拓扑 变化 时 BPDU 的 使 用 变化 

通过 前 面 的 学 习 我 们 知道 ， 在 STP 协议 中 只 要 有 端口 变 为 Forwarding 状态 ， 或 从 Forwarding 状 态 转变 




























































































































































































到 Blocking 状 态 均 会 触发 拓扑 改变 处 理 
BPDU 报 文 。 上 游 设备 在 收 到 下 游 设 备 发 来 的 TCN BPDU 报 文 后 ， 























过 程 。 在 发 生 拓 扑 变化 时 ， 


石 
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下 游 设备 会 不 间断 地 向 上 游 设 备 发 送 TCN 








TCA 标 志 位 置 1 的 配置 





用 Flags 字 段 ， 



















































































BPDU 报 文 发 送 给 对 应 的 下 游 设 备 ， 告 知 下 游 设 备 停止 发 送 TCN BPDU 报 文 。 与 此 同时 ， 上 游 设备 复制 一 份 
TCN BPDU 报 文 ， 向 根 桥 方 向 发 送 。 当 根 桥 收 到 TCN BPDU 报 文 后 ， 根 桥 又 使 用 Flags 字 段 中 TC 标 志 位 置 1 的 
配置 BPDU 报 文 向 对 应 的 下 游 设 备 回 送 ， 通 知 它们 直接 删除 发 生 故 障 的 端口 的 MAC 地 址 表 项 。 整 个 过 程 同 
时 使 用 了 TCN BPDU 和 配置 BPDU。 

在 RSTP 协议 中 检测 拓扑 是 否 发 生变 化 只 有 一 个 标准 : 一 个 非 边缘 端口 迁移 到 Forwarding 状 态 。 一 旦 检 
测 到 拓扑 发 生变 化 ， 将 进行 如 下 处 理 。 








(1) 为 本 设备 上 的 月 


倍 。 在 这 个 




















fi 有 非 边缘 指定 端 














时 间 内 ， 清 空 状态 发 生变 化 的 端 




















的 RST BPDU。 





RST BPDU 报 文 的 端口 。 





一 旦 TC While 定时 
(2) 其 他 交换 设备 接收 到 TC 





器 超时 ， 
位 置 1 的 RST BPDU 后 ， 清 空 所 有 端 








口 
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享 止 发 送 RST BPDU。 
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St ed 





























然后 也 为 

















己 所 有 的 非 边 缘 指 定 站 























如 此 ， 网 络 : 





就 会 产 4 





ERST BPDU 











的 泛 洪 。 由 此 可 见 ， 在 RSTP1 
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议 中 不 再 使 











到 的 MAC 地 ] 
和 根 端 口 启动 TC While 定时 


13TCN BPDU, 1 


启动 一 个 TC While 定时 器 ， 该 定时 器 值 是 Hello 定 时 器 的 两 
上 学 习 到 的 MAC 地 址 。 同 时 ， 由 这 些 端口 


向 外 发 送 T 








佑 ， 











C 位 置 1 


址 ， 除 了 收 到 该 
重复 上 述 过 


而 是 发 送 


TC 位 置 1 的 RST BPDU， 并 通过 泛 洪 的 方式 快速 通知 整个 网 络 。 不 需 要 依次 向 上 发 送 TCN BPDU 至 根 桥 ， 
下 发 送 的 TC 位 置 1 的 RST BPDU， 直 接 
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其 人 
除 端 口 学 习 到 
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的 MAC 地 寺 


岂 桥 收 到 TC 位 置 1 的 RST BPDU 之 后 ， 也 不 再 需要 等 待 
新 学 习 ， 实 现 


EF,， 重 























3. 配置 BPDU 处 到 


E 上 的 变化 








RSTP 在 配置 BPDU 处 理 上 的 变 






































(1) 拓扑 稳定 后 ， 












































定时 器 规定 的 
才 会 触发 发 出 



































间隔 定期 发 送 





(2) 更 短 的 BPDU 超 时 计时 。 
上 游 设 备 发 送 过 来 的 RSTBPDU， 导 
待 一 个 Max Age (最 大 生存 时 间 ) 。 
在 STP 中 指定 端 




















(3) 处 理 次 等 BPDU。 








时 间 间 隔 定期 
配置 BPDU。 此 方式 使 


化 主要 体现 在 以 下 几 个 方面 
配置 BPDU 























1 根 桥 问 
网 络 的 快速 收敛 。 




















日 。 











民 文 的 发 送 方式 。 在 STP 协 议 中 ， 











发 送 配置 BPDU， 


他 非 根 桥 设 备 




















记 置 BPDU。 即 在 RSTP 中 











得 STP 协 议 i 








当 拓 扑 稳定 后 ， 


只 能 在 收 到 上 游 设备 发 
十 算 复 杂 且 缓慢 。RSTP 协议 对 此 进行 了 改进 ， 即 在 拓扑 稳 
定 后 无 论 非 根 桥 设备 是 否 接收 到 根 桥 传 来 的 RST BPDU 报 文 ， 非 根 桥 设 备 仍然 按照 Hello 定 时 器 规定 的 时 间 













































































BPDU 发 送出 去 ， 但 
都 会 马上 发 送 本 地 更 
































较 。 如 果 该 端口 


对 非 指定 站 





il 口 不 会 做 同样 
优 的 RST BPDU 给 对 端 ， 以 使 对 
收 到 上 游 的 指定 桥 发 来 的 RST BPDU 报 文 时 ， 该 端 
存储 的 RST BPDU 的 优先 级 高 于 收 到 的 RST BPDU， 忆 


处 理 。 
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岂 速 更 
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会 将 
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， 各 桥 的 配置 BPDU 发 送行 为 完全 是 
在 RSTP 协 议 中 规定 ， 如 果 一 个 端 
了 么 该 设备 认为 与 此 邻 








全 已 
个 有 














1 根 桥 按 蝴 














1 每 台 桥 设备 自 


送 过 来 的 配置 


























口 连续 3 





在 收 到 inferior (次 优 ) BPDU 会 马上 把 端 
而 在 RSTP 中 不 管 


管 是 否 指定 端 
新 自 





Lj 


的 RST BPDU。 
自身 存储 的 RST BPDU 与 收 到 的 RST BPDU 进 行 比 
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\ 体 为 ， 当 






































照 Hello 
BPDU 后 





主 进行 。 

兰 Hello 定 时 器 时 间 内 没有 收 到 
了 居 之 间 的 协商 失败 。 而 不 是 像 STP 协 议 规定 的 那样 
口 保存 的 更 优 的 


者 口 ， 收 到 次 优 RST BPDU 
当 一 个 端 





口 
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b 么 该 端口 会 直接 丢弃 收 到 的 RST 


BPDU， 立 即 以 自身 存储 的 RST BPDU 进 行 响应 。 当 上 游 设 备 收 到 下 游 设 备 响应 的 RST BPDU 后 ， 上 游 设 备 





会 根据 收 到 的 RST BPDU 报 文中 相应 的 字段 立即 更 
BPDU 报 文 不 再 像 STP 那 样 依 赖 于 任何 定时 器 通过 超时 
， 假 设 桥 优先 级 S$3<S2<S1， 各 上 段 链 





在 如 图 8-18: 

















折 自 己 存储 的 RST 




















为 根 桥 ，S2 的 port 
当 口 为 阻 
i 口 发 送 数据 。 


1 端 


























SL 
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port1y 




















port1 端 


为 S2 的 根 端 口 
。 因 为 S3 经 过 S$2 到 达 根 桥 S1 的 开销 更 小 ， 




















BPDU 。 


由 此 可 见 ，RSTP 处 理 
解决 拓扑 收 仿 ， 从 而 加 快 了 拓扑 收敛 。 























次 等 A 




















路 的 开销 售 值 在 
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[sel 






































为 S2 的 指定 端 





，S2 的 port2 端 

















所 以 S3 会 从 port2 端 

















,进行 了 标注 。 
，S3 的 port2 端 口 为 S3 
发 送 数 








| 





的 根 端 
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E 常 情况 下 ，S1 


口 ，S3 的 





据 ， 而 不 


会 从 



































如 果 现 在 S1、S2 中 的 链 路 down 了 ， 如 图 8-19 所 示 。 在 STP 协 议 中 ， 一 开始 S2 会 认为 自己 是 根 桥 (因为 













































































此 时 S2 误 认为 S1 不 存在 了 〉 ， 并 发 送 配置 BPDU。 但 S3 的 port2 不 会 立即 以 更 优 的 BPDU 响 应 S2， 直 到 Max 
20s) 过 期 ， 即 $S3 的 port2 端 口上 保存 的 原 BPDU 超 时 ，S3 的 port2 端 口才 发 送 新 的 以 $1 为 根 〈 因 
为 此 时 S3 与 S1 仍 然 保 持 着 连接 ，S1 的 优先 级 更 高 ， 所 以 S3 认 为 S1 仍 为 该 交换 网 络 的 根 桥 ) 的 BPDU。S2 接 





age 〈 缺 省 为 





收 到 这 个 BPDU 后 ， 承 认 S1 为 根 桥 《原因 是 S1 的 优先 级 高 于 $2) ， 修 改 自己 的 桥 角 色 。 此 时 S$S2 的 port2 端 












































状态 会 发 生 一 系列 的 变化 ， 需 经 过 两 倍 转 发 延 时 一 一 30s 才 进入 转发 状态 。 这 样 一 来 就 一 共 经 历 50s 的 时 间 。 








Sl 





port2 port2 











图 8-18 对 次 优 BPDU 处 理 的 示例 图 








Sl 


portl port2 


S3 





port2 port2 




















图 8-19 对 次 优 BPDU 处 理 的 示例 图 二 








如 果 是 帮 


Max Age 时 间 。 



































ERSTP 中 ，S3 的 port2 端 口 收 到 S2 发 来 的 次 BPDU 后 会 马上 发 送 本 端口 的 更 优 BPDU， 无 需 等 待 
丸 为 此 时 S2 的 port2 与 S3 的 port2 端 口 是 点 对 点 连接 ， 所 以 这 两 个 端口 都 能 快速 地 进行 状态 迁 











移 ， 即 由 Discarding 状态 迁移 到 Forwarding， 实 现 拓 扑 瞬 间 收 敛 ， 无 需 等 待 两 倍 的 转发 延 时 。 








8.3.4 更 加 快速 的 P/A 收 全 机 和 党 





二 








在 RSTP 中 ， 为 了 实现 更 加 快速 的 拓扑 收敛 ， 主 要 采用 了 Proposal/Agreement〔 提 议 / 确 认 ，P/A) 机制 。 








通过 本 章 前 面 的 学 习 已 经 知道 ， 当 一 个 端口 被 选举 成 为 指定 端口 之 后 ， 在 STP 协 议 中 该 端口 至 少 要 等 待 






























































两 个 Forward Delay 的 时 间 (由 Listening 状 态 到 Learning 状 态 ， 再 从 Learning 状 态 到 Forwarding 状 态 〉 才 会 迁移 
到 Forwarding 状 态 ， 发 送 数 据 。 这 种 保守 








系列 改进 。 禾 








E RSTP 协 议 中 规定 ， 一 个 端 














的 设计 可 以 保证 不 产生 环 路 ， 但 显然 不 够 聪明 ，RSTP 对 此 做 了 一 
被 选举 为 指定 端口 后 ， 会 先进 入 Discarding 状态 ， 再 通过 



































Proposal/Agreement 机 制 快速 进入 Forwarding 状态 。 但 这 种 机 制 必 须 在 点 到 点 链 路 〈 某 端口 在 所 属 的 共享 





以 太 网 上 的 对 端 只 有 一 台 设 备 ， 这 样 的 以 太 网 被 认为 是 点 到 点 链 路 ) 上 使 用 。 
1. P/A 机 制 工作 原理 













































































P/A 机 制 即 Proposa/Agreement 机 制 ， 其 目的 是 使 一 个 指定 端口 尽快 进入 Forwarding 状 态 。 如 图 8-20 所 


示 ，P/A 协 商 




















过 程 的 完成 根据 以 下 几 个 端口 变量 的 协商 ， 也 是 P/A 机 制 的 具体 工作 原理 。 



































上 游 设备 








指定 端口 转 为 
Forwarding 状 态 


图 8-20 P/A 机 制 工作 原理 示意 图 


(1) proposing 〈 提 议 请 求 ) : 





发 送 proposal 报 文 ，j 


发 送 agreement 报 文 


下 游 设备 


请 求 快速 切换 | 很 端口 阻塞 其 他 非 边缘 端口， 
自己 转 为 Forwarding 状 态 ， 
并 向 上 游 发 送 agreement 报 文 


日 根 端 口 
瞻 指定 端口 




















当 一 个 指定 端 








处 于 Discarding 或 Learning 状态 时 ， proposing 变 量 置 








位 ， 并 向 下 游 桥 设备 传递 Flags 字 段 Proposal 标 志 位 置 1 的 RST BPDU (表示 此 BPDU 为 Proposal RST BPDU 报 








文 ) ， 请 求 快 速 切换 到 Forwarding 状 态 。 
(2) proposed (提议 采纳 ) : 
量 置 位 。 
(3) sync《〈 同 步 请 求 ) : 
位 ， 使 所 有 非 边 缘 端 口 都 进入 Discarding 状 态 
(4) synced (同步 完成 ): 
其 他 所 有 Alternate 端 
置信 
































口 、Backup 端 口 和 边缘 端 


当 对 端的 根 端 
该 变量 指示 本 网 段 上 的 指定 端口 希望 尽快 进入 Forwarding 状 态 。 

当 根 端口 的 proposed 变量 置 位 后 会 依次 为 本 桥 上 的 
态 ， 准 备 重 新 同步 。 

当 端 口 进入 到 Discarding 状 态 后 会 将 自己 的 synced 变 量 置 位 ， 包 括 本 桥 上 的 

















收 到 以 上 Proposal 标 志 位 置 1 的 RST BPDU 时 ，proposed 变 





























其 他 端口 使 sync 变 量 置 

































































， 实 施 同步 操作 。 此 时 ， 根 端口 监视 








其 他 端口 的 synced 变 量 
































立 情况 ， 当 所 有 其 他 端口 的 synced 变 量 全 被 置 位 ， 则 根 端口 





口 最 后 也 会 将 自己 的 synced 变 量 置 位 ， 表 示 本 桥 


























EF 
RST BPDU 报 文 ) 。 

(5) agreed 〈 提 议 确认 ) : 
Agreement RST BPDU 时 ， 则 此 指定 端 
转 入 Forwarding 状 态 。 

2. P/A 机 制 解析 示例 
如 图 8-21 所 示 ， 根 桥 S1 和 S2 之 间 新 添加 了 一 
端口 ，p3 是 指定 端口 且 处 于 Forwarding 状 态 












































当 原 来 想 要 进入 转发 状态 的 上 游 设 备 指定 端 
的 agreed 变 量 被 置 位 。Agreed 变 量 


<，p4 是 边缘 端口 。 











正式 完成 同步 操作 ， 向 上 游 设 备 传 回 Agreement 标 志 位 置 1 的 RST BPDU (表示 此 BPDU 为 Agreement 








收 到 对 端 根 端口 发 来 的 一 个 


且 被 置 位 ， 则 该 指定 端口 马上 






































条 链 路 。 在 当前 状态 下 ，S2 的 另外 几 个 端口 p2 是 Alternate 
新 链 路 连接 成 功 后 ，P/A 机 制 协商 过 程 如 下 。 

















Sl 


pO 1 Proposal 


3 Agreement 





2 Sync 








(1) p0 和 p1 两 个 端口 马上 成 为 指定 端 














@ 指定 端口 
X Alternate 端 口 
@@ 边缘 端口 


2 Sync 


2 Sync 


(不 改变 端口 状态 ) (阻塞 满口 )( 不 司 变 端口 状态 ) 





图 8-21 P/A 机 制 解析 示例 


， 发 送 RST BPDU。 











(2) S2 的 pl 端口 在 收 到 更 优 的 RST BPDU 后 马上 意识 到 自己 将 成 为 根 端 口 ， 而 不 是 指定 端口 ， 于 是 
停止 发 送 RST BPDU。 
(3) 当 S1 的 p0 端 口 处 于 Discarding 状 态 〈 这 是 所 有 端口 的 初始 状态 ) 时 向 对 端的 S2 发 送 proposal 标 志 位 
置 1 的 RST BPDU。 
(4) S2 收 到 根 桥 发 送 来 的 携带 proposal 标 志 位 的 RST BPDU 后 开始 将 自己 的 所 有 端口 的 sync 变 量 置 位 ， 
进入 Discarding 状态 。 因 为 此 时 p2 端口 已 经 阻塞 ， 所 以 状态 不 变 ，p4 端 口 是 边 缘 端 口 不 参与 运算 ， 所 以 只 
需要 阻塞 非 边 缘 指 定 端口 p3。 
(5) 在 p2、p3、p4 端 口 都 进入 Discarding 状 态 之 后 ， 各 处 将 自己 的 synced 变 量 置 位 ， 然 后 根 端口 p1 也 将 
自己 的 synced 变 量 置 位 ， 然 后 向 S1 返 回 Agreement 标 志 位 置 1 的 响应 RST BPDU。 该 RST BPDU 携 带 和 刚才 根 
桥 发 过 来 的 BPDU 一 样 的 信息 ， 除 了 Agreement 标 志 位 置 1 之 外 〈Proposal 位 清 零 ) 。 
(6) 当 S1 判 断 出 所 收 到 的 Agreement RST BPDU 是 对 刚刚 发 出 的 Proposal 的 响应 后 ， 端 口 p0 马 上 进入 
Forwarding 状 态 。 
以 上 P/A 过 程 可 以 向 下 游 设备 继续 传递 ， 也 就 是 说 不 一 定 是 根 桥 与 非 根 桥 之 间 ， 也 可 以 是 非 根 桥 之 间 。 
说 明 
事实 上 对 于 STP， 指 定 端 口 的 选择 可 以 很 快 完 成 ， 主 要 的 速度 瓶颈 : 为 了 避免 环 路 ， 必 须 等 待 足够 长 
的 时 间 ， 使 全 网 的 端口 状态 全 部 确定 ， 也 就 是 说 必须 要 等 待 至 少 一 个 Forward Delay 所 有 端口 才能 进行 转 
发 。 而 RSTP 的 主要 目的 就 是 消除 这 个 瓶颈 ， 通 过 阻塞 自己 的 非 根 端口 来 保证 不 会 出 现 环 路 。 而 使 用 P/A 机 
制 加 快 了 上 游 端口 转 到 Forwarding 状 态 的 速度 。 
但 P/A 机 制 要 求 两 台 交换 设备 之 间 链 路 必须 是 点 对 点 的 全 双 工 模式 。 一 旦 P/A 协 商 不 成 功 ， 指 定 端口 的 
选择 就 需要 等 待 两 个 Forward Delay， 协 商 过 程 与 STP 一 样 。 
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8.3.5 RSTP 的 其 他 收敛 机 制 和 与 STP 的 互 操作 














1. 其 他 收敛 机 制 
在 RSTP 中 ， 除 了 P/A 机 制 外 ， 还 有 以 下 两 种 机 制 也 可 帮助 实现 拓扑 的 快速 收敛。 
(1) 根 端口 快速 切换 机 制 。 如 果 网 络 中 一 个 根 端口 失效 ， 那 么 网 络 中 最 优 的 Alternate 端 口 将 立即 成 为 
根 端口 ， 并 进入 Forwarding 状态 。 在 点 到 点 以 太 网 链 路 上 ， 根 端口 总 能 快速 迁移 到 Forwarding 状 态 。 
(2) 边缘 端口 的 引入 。 在 RSTP 里 面 ， 如 果 某 一 个 指定 端口 位 于 整个 网 络 的 边缘 ， 即 不 再 与 其 他 交换 
设备 连接 ， 而 是 直接 与 终端 设备 直 连 ， 这 种 端口 叫做 边缘 端口 。 
边缘 端口 不 接收 处 理 配置 BPDU， 不 参与 RSTP 运 算 ， 可 以 由 Disable 状 态 直接 转 到 Forwarding 状 态 ， 且 不 
经 历任 何 时 延 。 但 是 一 旦 边缘 端口 收 到 配置 BPDU， 就 丧失 了 边缘 端口 属性 ， 成 为 普通 RSTP 端 口 ， 并 重新 
进行 生成 树 计 算 ， 从 而 引起 网 络 振荡 。 
2. RSTP 与 STP 的 互 操作 
RSTP 可 以 和 STP 互 操作 ， 但 是 此 时 会 丧失 快速 收敛 等 RSTP 优 势 。 当 一 个 网 段 里 既 有 运行 STP 的 交换 设 
备 ， 又 有 运行 RSTP 的 交换 设备 时 ，STP 交换 设备 会 忽略 RST BPDU， 而 运行 RSTP 的 交换 设备 在 某 端口 上 
接收 到 运行 STP 的 交换 设备 发 出 的 配置 BPDU 时 ， 会 在 两 个 Hello Time 时 间 之 后 把 自己 的 端口 转换 到 STP 工 
作 模 式 ， 发 送 配置 BPDU。 这 样 ， 就 实现 了 互 操作 。 
在 华为 技术 有 限 公司 的 数据 通信 设备 上 可 以 配置 运行 STP 的 交换 设备 ， 被 撤离 网 络 后 ， 运 行 RSTP 的 交 
换 设备 又 可 迁移 回 到 RSTP 工 作 模式 。 
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8.4 STP/RSTP 配 置 























TT 








虽然 RSTP 对 STP 有 了 重大 改进 ， 但 在 配置 方法 方面 总 体 来 说 区 别 不 大 (主要 区 别 体 现在 收敛 参数 方面 
的 配置 ) ， 故 本 节 一 起 介绍 STP 和 RSTP 协议 的 配置 与 管理 方法 。 先 来 看 一 下 华为 系列 交换 机 上 STP 和 
RSTP 的 一 些 主要 配置 任务 。 
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8.4.1 STPRSTP 配 置 任务 及 缺 省 








STP/RSTP 可 阻塞 二 层 网 络 中 的 元 余 链 路 ， 将 网 络 修剪 成 树 状 ， 达 到 消除 环 路 的 目的 。 

(1) 为 了 消除 设备 间 的 环 路 ， 可 以 配置 STP/RSTP 基 本 功能 。 

(2) 为 了 加 快 设备 的 收敛 速度 ， 可 以 配置 影响 STP/RSTP 拓 扑 收敛 的 参数 。 

(3) 为 了 实现 与 其 他 厂商 设备 的 互通 ， 需 要 在 华为 公司 运行 STP/RSTP 的 设备 上 配 置 合 适 的 参数 ， 以 
确保 通信 畅通 。 

(4) 为 了 满足 特殊 场合 的 应 用 和 功能 扩展 ， 还 可 配置 RSTP 拓 扑 收敛 反馈 机 制 ， 以 及 RSTP 提 供 如 表 8-3 
所 示 的 各 种 保护 功能 。 


























表 8-3 RSTP 保 护 功 能 


交换 设备 上 启动 了 BPDU 保护 功能 后 ， 如 果 边 缘 端 
口 收 到 RST BPDU, 边缘 端口 将 被 error-down, 但 是 
边缘 端口 属性 不 变 ， 同 时 通知 网 管 系统 
被 错误 down 掉 的 边缘 端口 只 能 由 网 络 管理 员 手 动 
恢复 .如 果 用 户 需要 被 错误 down 掉 的 边缘 端口 可 自 
动 恢 复 ， 可 通过 配置 使 能 端口 自动 恢复 功能 ， 并 可 
设置 延迟 时 间 
启用 防 TC-BPDU 报 文 攻击 功能 后 ， 在 单位 时 间 内 交 
交换 设备 在 接收 到 拓扑 变化 | 换 设备 处 理 拓扑 变化 报 文 的 次 数 可 配置 。 如 果 在 单位 
防 TC-BPDU | 报 文 后 ， 会 执行 MAC 地 址 表 | 时 间 内 交换 设备 在 收 到 拓扑 变化 报 文 数量 大 于 配置 
报 文 攻击 “| 项 和 ARP 表 项 的 删除 操作 ， | 的 阅 值 ， 那么 设备 只 会 处 理 闽 值 指定 的 次 数 。 对 于 其 
保护 如 果 频 繁 操作 则 会 对 CPU 的 | 他 超出 立 值 的 拓扑 变化 报 文 , 定时 器 到 期 后 设备 只 对 
冲击 很 大 其 统一 处 理 一 次 。 这 样 可 以 避免 频繁 地 删除 MAC 地 
址 表 项 和 ARP 表 项 ， 从 而 达到 保护 设备 的 目的 
由 于 维护 人 员 的 错误 配置 或 | 对 于 启用 Root 保护 功能 的 指定 端口 ， 其 端口 角色 
网 络 中 的 恶意 攻击 ， 根 桥 收 到 | 能 保持 为 指定 端口 。 一 旦 启用 Root 保护 功能 所 
优先 级 更 高 的 BPDU, 会 失去 | 端口 收 到 优先 级 更 高 的 RST BPDU 时 ， 端 口 状态 将 
根 桥 的 地 位 , 重新 进行 生成 树 | 进入 Discarding 状态 ， 不 再 转发 报 文 。 在 经 过 一 段 
的 计算 , 并且 由 于 拓扑 结构 的 | 时 间 (通常 为 两 倍 的 Forward Delay)， 如 果 端 口 一 
变化 , 可 能 造成 高 速 流量 迁移 | 直 没 有 再 收 到 优先 级 较 高 的 RST BPDU， 端 口 会 自 
到 低速 链 路 上 , 引起 网 络 拥塞 | 动 恢复 到 正常 的 Forwarding 状态 
当 出 现 链 路 拥塞 或 者 单 向 链 | 在 启动 了 环 路 保护 功能 后 ， 如 果 根 端口 或 Alternate 
路 故障 ， 根 端口 和 Alternate | 端口 长 时 间 收 不 到 来 自 上 游 的 RST BPDU 时 ， 则 向 
端口 会 被 老化 。 根 端口 老化 会 管 发 出 通知 信息 (如 果 是 根 端口 则 进入 Discarding 
导致 系统 重 新 选择 根 端口 (而 | 状态 )。 而 阻塞 端口 则 会 一 直 保 持 在 阻塞 状态 ， 不 转 
这 有 可 能 是 错误 的 ), Alternate | 发 报 文 ， 从 而 不 会 在 网 络 中 形成 环 路 。 直 到 根 端 口 
端口 老化 将 迁移 到 Forwarding | 收 到 RST BPDU, 端口 状态 才 恢 复 正常 到 Forwarding 
状态 ， 这 样 会 产生 环 路 状态 


支持 STP/RSTP 的 华为 $ 系 列 交 换 机 都 有 如 表 8-4 所 示 的 缺 省 配置 ， 实 际 应 用 的 配置 可 以 基于 缺 省 配置 进 
行 修改 。 


边缘 端口 在 收 到 BPDU 以 后 
端 1 1 状态 将 变 为 非 边缘 端 和 
此 时 就 会 造成 生成 树 的 重新 
计算 ， 如果 攻 击 者 伪造 本 | 
息 恶 意 攻击 交换 设备 , 就 会 
起 网 络 振 ; 荡 









































表 8-4 STP/RSTP 缺 省 配置 





































参数 缺 省 值 
生成 树 协 议 工 作 模 式 MSTP 模式 
STP/RSTP 功能 全 局 STP/RSTP 功能 使 能 ， 接 口 的 STP/RSTP 功能 也 使 能 
交换 设备 的 优先 级 32768 
端口 的 优先 级 128 
路 径 开销 缺 省 值 的 计算 方法 Dotlt， 即 IEEE 802.1t 标准 
Forward Delay Time 1 500 厘 秒 
Hello Time 200 厘 秒 
Max Age Time 2 000 厘 秒 














8.4.2 配置 STP/RSTP 基 本 功能 




















在 以 太 网 中 ， 通 过 对 交换 设备 配置 STP/RSTP 基 本 功能 ， 将 网 络 修剪 成 树 状 ， 达 到 消除 环 路 的 目的 。 下 
而 先 具 体 了 解 一 下 STP、RSTP 基 本 功能 的 配置 任务 。 

1. 主要 配置 任务 

STP/RSTP 基本 功能 配置 包括 STP/RSTP 工作 模式 配置 ， 根 桥 和 备份 桥 配置 ， 桥 优先 级 配置 ， 端 口 路 径 
开销 、 端 口 优先 级 、STP 或 RSTP 功 能 的 启用 等 。 当 然 其 中 大 部 分 是 为 可 选 的 配置 任务 ， 所 以 总 体 上 配置 还 
是 很 简单 的 。 具 体 如 下 。 

(1) 配置 STP/RSTP 工 作 模 式 。 华 为 S 系 列 交 换 机 支持 STP、RSTP 和 MSTP 三 种 生成 树 工 作 模 式 。 在 只 
运行 STP 的 环形 网 络 中 可 选择 STP 模 式 ， 在 只 运行 RSTP 的 环形 网 络 中 可 选择 RSTP 模 式 。 其 他 情况 ， 建 议 选 
择 缺 省 情况 MSTP 模 式 。 

(2) (可 选 ) 配置 根 桥 和 备份 根 桥 。 此 为 可 选 配 置 任务 ， 因 为 缺 省 情况 下 ， 根 桥 和 备份 根 桥 是 通过 选 
举 产生 的 。 如 果 配 置 此 项 配置 任务 就 相当 于 人 工 指 定 根 桥 和 备份 桥 。 但 要 注意 ， 在 同一 交换 机 上 只 能 选择 
配置 根 桥 或 者 备份 根 桥 ， 不 能 同时 配置 。 在 配置 STP/RSTP 过 程 中 ， 建 议 手 动 配置 根 桥 和 备份 根 桥 。 

说 明 
在 一 棵 生成 树 中 ， 生 效 的 根 桥 只 有 一 个 ; 在 同一 个 网 络 中 ， 当 多 个 设备 的 桥 优 先 级 相同 时 系统 将 选择 
MAC 地 址 最 小 的 设备 作为 根 桥 。 可 以 在 每 棵 生成 树 中 指定 多 个 备份 根 桥 。 当 根 桥 出 现 故障 或 被 关机 时 ， 备 
份 根 桥 可 以 取代 根 桥 成 为 指定 生成 树 的 根 桥 ;但 此 时 若 配置 了 新 的 根 桥 ， 则 备份 根 桥 将 不 会 成 为 根 桥 。 如 
果 配 置 了 多 个 备份 根 桥 ， 在 当前 根 桥 出 现 了 故障 时 ， 则 MAC 地 址 最 小 的 备份 根 桥 将 成 为 指定 生成 树 的 根 
桥 。 




















































































































































































































































































































































































































































































































(3) (可 选 ) 配置 交换 设备 优先 级 。 在 一 个 运行 STP/RSTP 的 网 络 中 ， 有 且 仅 有 一 个 根 桥 ， 它 是 整 棵 
生成 树 的 逻辑 中 心 。 在 进行 根 桥 的 选择 时 ， 一 般 会 希望 选择 性 能 高 、 网 络 层次 高 的 交换 设备 作为 根 桥 。 但 
是 性 能 高 、 网 络 层次 高 的 交换 设备 其 优先 级 不 一 定 高 ， 因 此 需要 配置 优先 级 以 保证 该 设备 成 为 根 桥 。 同 
时 ， 对 于 网 络 中 部 分 性 能 低 、 网 络 层次 低 的 交换 设备 ， 不 适合 作为 根 桥 设备 ， 一 般 会 配置 其 较 低 优先 级 以 
保证 该 设备 不 会 成 为 根 桥 。 但 要 注意 的 是 ， 在 配置 交换 设备 的 优先 级 数值 时 : 数值 越 小， 优先 级 越 高 ， 成 
为 根 桥 的 可 能 性 越 大 。 
(4) (可 选 ) 配置 端口 路 径 开 销 。 路 径 开 销 是 一 个 端口 量 ， 是 STP/RSTP 协 议 用 于 选择 链 路 的 参考 
值 。 端 口 路 径 开 销 值 取 值 范围 由 路 径 开销 计算 方法 决定 。 当 确定 路 径 开 销 计 算 方 法 后 ， 端 口 所 处 链 路 的 速 
率 值 越 大 ， 建 议 将 该 端口 的 路 径 开 销 值 在 指定 范围 内 设置 越 小 。 
华为 S 系 列 交 换 机 支持 三 种 路 径 开销 计算 方法 ， 即 IEEE 802.1d-1998 标 准 方法 、IEEE 802.1t 标准 方法 和 
华为 的 私有 计算 方法 。 以 华为 的 私有 计算 方法 为 例 ， 不 同 速 率 的 端口 路 径 开 销 的 缺 省 值 不 同 ， 具 体 如 表 8-5 
所 示 。 
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表 8-5 端口 所 对 应 的 链 路 速率 与 端口 路 径 开 销 缺 省 值 对 应 表 





链 路 速率 


路 径 开销 取 值 范围 


路 径 开销 推荐 取 值 范围 路 径 开销 缺 省 值 





10Mbit/s 


1~200 000 


200~20 000 2 000 





100Mbit/s 


1~200 000 


20 一 2 000 200 





1Gbit's 


1 一 200 000 


2 一 200 20 





10Gbits 


1 一 200 000 


220 入 





10Gbit/s 以 上 








1 一 200 000 








je 1 











从 上 表 可 以 看 出 ， 端 口 速率 越 高 ， 路 径 开 销 值 越 小 。 在 存在 环 路 的 网 络 环 境 中 ， 对 于 链 路 速率 值 相对 














较 小 的 端口 ， 








建议 将 其 路 径 开销 值 配 置 相 对 较 大 ， 以 使 其 在 生成 树 算 法 ! 














在 链 路 ， 从 而 可 以 使 速率 更 高 的 端口 成 为 指定 端口 



















































































或 根 端口 ， 以 提高 网 络 交 换 性 能 。 
(5) (可 选 ) 配置 端口 优先 级 。 在 参与 STP/RSTP 生 成 树 计 算 时 ， 对 于 处 在 环 路 中 的 交换 设备 端口 ， 





被 选举 成 为 阻塞 端口 ， 阻 














其 所 


























其 优先 级 的 高 低 会 影响 到 是 否 被 选举 为 指定 端口 。 如 果 和 希望 将 环 路 中 的 某 交 换 设备 的 端口 阻 








从 而 破除 环 


路 ， 则 可 将 其 端口 优先 级 值 设置 比 缺 省 值 大 《优先 级 值 越 大 ， 优 先 级 越 小 ) ， 使 得 在 选举 过 程 中 成 为 被 阻 





塞 的 端口 。 

















(6) 启用 STP/RSTP 功 能 。 在 环形 网 络 中 





























旦 启用 STP 或 RSTP，STP、RSTP 协 议 便 立 即 必 














F 始 生成 树 计 


算 。 而 且 ， 诸 如 交换 设备 的 优先 级 、 端 口 优先 级 等 参数 都 会 影响 到 生成 树 的 计算 ， 在 计算 过 程 中 这 些 参数 

















的 变动 可 能 会 导致 网 络 振 荡 。 为 了 保证 生成 树 计算 过 程 快速 而 且 稳 定 ， 必 须 在 交换 设备 及 其 端口 




















的 基本 配置 以 后 才能 启 
(7) (可 选 ) 配置 端 | 

































































转发 路 径 也 将 发 生变 化 。 此 时 ， 交 换 设备 上 
的 处 理 方式 不 同 ，STP、RSTP 的 收敛 方式 分 为 Fast 和 和 Normal 两 种 : 


STP 或 RSTP 功 能 。 
的 收敛 方式 。 当 生成 树 的 拓扑 结构 发 生 改 变 时 ， 和 它 建 立 映射 关系 的 VLAN 的 
ARP 表 中 与 这 些 VLAN 相 关 的 表 项 也 需要 更 新 。 根 据 对 ARP 表 项 
在 Fast 方 式 下 ，ARP 表 将 需要 更 新 的 表 项 








直接 删除 ， 在 Normal 方 式 下 ，ARP 表 
些 表 项 的 剩余 存活 时 间 置 为 0， 对 这 些 表 项 进行 老化 处 到 





这 些 表 项 进行 老化 探测 。 
2. 具体 配 置 步骤 



































前 面 介 绍 的 七 大 STP 和 RSTP 基 本 功能 主要 配置 作 











配置 任务 
































进行 必要 















































E 务 的 具体 配置 步骤 如 表 8-6 所 示 。 














表 8-6 STP/RSTP 基 本 功能 配置 步骤 




















说 明 





system-view 
例如 : <HUAWEI> 
System-view 


进入 系统 视图 





配置 STP 
或 RSTP 
工作 模式 


stp mode { stp | rstp } 
例如 : [HUAWEI] stp 
mode stp 


配置 交换 机 的 生成 树 工作 模式 。 如 果 选 择 二 选 一 选 
项 stp， 则 表示 运行 STP 模式 ， 如 果 选 择 二 选 一 选 
项 rstp， 则 表示 运行 RSTP 模式 

缺 省 情况 下 ， 除 S2700SI 子 系列 运行 模式 为 STP 模 
式 外 ， 其 他 系列 为 运行 MSTP 模式 ，MSTP 模式 兼 
容 STP 和 RSTP 模式 ， 可 用 undo stp mode 命令 恢 
复 交 换 设备 的 缺 省 生成 树 协 议 工作 模式 








(可 选 ) 
配置 根 桥 
或 备份 
根 桥 











stp root { primary | 
secondary } 

例如 : [HUAWEI] 
stp root primary 





配置 当前 设备 为 根 桥 或 备份 根 桥 ， 如 果 选 择 二 选 
-选项 primary， 则 配置 当前 设备 为 根 桥 ;如果 

选择 二 选 一 选项 secondary, 则 配置 当前 设备 为 备 

份 根 桥 

如 果 配 置 为 根 桥 后 该 设备 BID 中 的 优先 级 值 自动 为 

0， 并 且 不 能 更 改 ; 如 果 配 置 为 备份 根 桥 后 该 设备 

BID 中 的 优先 级 值 自动 为 4 096， 且 也 不 能 更 改 

缺 省 情况 下 ， 交 换 设备 不 作为 任何 生成 树 的 根 桥 或 

备份 根 桥 ， 可 用 undo stp root 命令 取消 当前 交换 设 

备 为 指定 生成 树 的 根 桥 或 备份 根 桥 资格 























需要 更 新 的 表 项 快速 老化 。 在 normal 方 式 下 ， 交 换 设 备 将 ARP 表 中 这 
。 如 果 配 置 的 ARP 老 化 探测 次 数 大 于 零 ， 则 ARP 对 





( 续 表 ) 


(可 选 ) 
配置 桥 
优先 级 


(可 选 ) 
配置 端口 
路 径 开 销 


stp priority priority 
例如 : [HUAWEI] 
stp priority 4096 


stp patheost-standard 
1 dotld-1998 | dot1t | 
legacy } 

例如 : [HUAWEI] 
stp pathcost-standard 
dot1d-1998 


配置 交换 设备 的 桥 优先 级 ， 取 值 范围 是 0 一 61 440， 步 
长 为 4096, 即 仅 可 以 配置 16 个 优先 级 取 值 ,如 0、4 096、 
8 192 等 ， 不 能 随便 设 。 优 先 级 值 越 小 ， 则 优先 级 越 高 ， 
越 能 成 为 根 桥 或 备份 根 桥 

缺 省 情况 下 ， 交 换 设备 的 桥 优先 级 值 为 32 768， 可 用 undo 
stp priority 命令 恢复 交换 机 的 桥 优先 级 为 缺 省 值 

【注意 】 如 果 已 经 通过 执行 命令 stp root primary 或 命令 
Stp root secondary 指定 当前 设备 为 根 桥 或 备份 根 桥 , 若 
要 改变 当前 设备 的 优先 级 ， 则 需要 执行 命令 undo stp 
root 去 使 能 根 桥 或 者 备份 根 桥 功能 ， 然后 执行 本 命令 配 
置 新 的 优先 级 数值 

配置 端口 路 径 开销 缺 省 值 的 计算 方法 。 命令 中 的 选项 说 明 如 下 。 
。 dotlid-1998: 多 选 一 选项 ， 表 示 采 用 IEEE 802.1D 标 
准 计算 方法 

。 dotlt: 多 选 一 选项 ， 表 示 采 用 IEEE 802.1t 标准 计算 方法 

。 legacy: 多 选 一 选项 ， 表 示 采 用 华为 的 私有 计算 方法 
缺 省 情况 下 ， 路 径 开销 缺 省 值 的 计算 方法 为 IEEE 
802.1t (dotlt) 标准 方法 ， 可 用 undo stp pathcost- 
standard 命令 恢复 路 径 开 销 缺 省 值 采用 缺 省 计算 方 
法 。 且 同一 网 络 内 所 有 交换 设备 的 端口 路 径 开销 应 使 
用 相同 的 计算 方法 





Interface interface-type 
interface-number 


例 @l: [HUAWEIJinterface 


GigabitEthernet /0/0 


stp Cost cost 

例如 : [HUAWEI- 
GigabitEthemet1/0/0] 
stp cost 200 


stp port priority priority 
例如 : [HUAWEI- 
GigabitEthernet1/0/0] 
stp port priority 64 


进入 要 参与 生成 树 计算 的 接口 视图 


设置 当前 端口 的 路 径 开销 值 ， 用 于 桥 的 根 端口 选举 ， 值 
越 大 ， 优 先 级 越 低 。 取 值 范围 根据 所 采用 的 计算 方法 的 
不 同 而 不 同 。 

。 使 用 华为 的 私有 计算 方法 时 参数 _cost 的 取 值 范围 是 
1 一 200 000 

。 使 用 IEEE 802.1d 标准 方法 时 参数 cost 的 取 值 范围 是 
1 一 65 535 

。 使 用 IEEE 802.1t 标准 方法 时 参数 cost 的 取 值 范围 是 
1 一 200 000 000 

缺 省 情况 下 ， 端 口 的 路 径 开 销 值 为 接口 速率 对 应 的 路 径 开 
销 缺 省 值 ， 可 用 undo stp cost 命令 恢复 当前 接口 的 路 径 开 
销 为 缺 省 值 。 当 采用 华为 私有 计算 方法 时 的 缺 省 值 参 见 表 
8-5 

【说 明 】〗 在 存在 环 路 的 网 络 环境 中 ， 对 于 链 路 速率 值 相对 
较 小 的 接口 ， 建 议 将 其 路 径 开销 值 配置 相对 较 大 ， 以 使 其 
在 生成 树 算法 中 被 选举 成 为 阻塞 端口 ， 阻 塞 其 所 在 链 路 ， 
因为 开销 值 越 大 的 接口 越 将 成 为 阻塞 端口 
配置 端口 的 优先 级 ， 参 与 指定 端口 的 选举 。 参 数 的 priorin 
取 值 范围 是 0 一 240， 步 长 为 16， 不 能 随便 设置 ， 且 优先 级 值 
越 小 ， 优 先 级 越 高 ， 越 能 成 为 指定 端口 

缺 省 情况 下 ,端口 的 优先 级 取 值 是 128, 可 用 undo stp 
port priority 命令 恢复 当前 接口 的 优先 级 为 缺 省 值 





对 所 有 要 参与 STP 或 者 RSTP 生成 树 计算 的 各 交换 机 端口 重复 以 上 第 5 一 第 7 步 








启用 STP 
或 RSTP 


(可 选 ) 
配置 端口 
的 收 全 
方式 


quit 
例如 : [HUAWEI- 
GigabitEthemet1/0/0] quit 


退出 接口 视图 ， 返 回 系统 视图 





S2700/3700/5700/6700 
系列 交换 机 

( 除 SS710EI 子 系列 外 ); 
bpdu enable 

例如 : [HUAWEI] 
bpdu enable 
S7700/9300/9700 系列 
交换 机 : 

bpdu bridge enable 
例如 : [HUAWED 
bpdu bridge enable 


(可 选 ) 使 能 接口 上 送 BPDU 报 文 到 CPU 处 理 
的 功能 。STP/RSTP 需要 通过 BPDU 报 文 交互 
来 完成 生成 树 计 算 。 因 此 需要 使 能 接口 上 送 
BPDU 报 文 到 CPU 处 理 的 功能 。 但 S5710EI 不 
支持 该 命令 ,在 S5710EI 上 ， 只 有 使 能 了 STP 
或 者 RSTP 的 接口 才 会 将 相应 的 BPDU 报 文 上 
送 CPU 处 理 ; 否则 , 接口 直接 丢弃 BPDU 报 文 
在 S2700/3700/ 5700/6700 系列 交换 机 中 ， 缺 省 
情况 下 ， 该 功能 处 于 使 能 状态 ， 可 用 
bpdu disable 命令 去 使 能 该 功能 ; 在 
S7700/9300/9700 系列 交换 机 中 ， 缺 省 情况 下 ， 
接口 对 收 到 的 BPDU 报 文 进行 丢弃 处 理 ， 即 去 
使 能 该 功能 ， 也 可 用 bpdu bridge disable 命令 
去 使 能 该 功能 











stp enable 

例如 : [HUAWED 
stp enable 

或 

[HUAWEI- 
GigabitEthernet1/0/;0] 
stp enable 


stp converge 

{ fast | normal } 
例如 : [HUAWED] 
stp converge fast 


使 能 交换 机 的 STP/RSTP 功能 , 本 命令 既 可 在 系统 
视图 下 全 局 启用 交换 机 上 各 端口 的 STP 或 者 RSTP 
功能 ， 也 可 在 具体 接口 视图 下 仅 启 用 对 应 接口 的 
STP 或 者 RSTP 功能 

缺 省 情况 下 ，S2700/3700/9300 系列 交换 机 中 的 
STP/RSTPMSTP 功能 处 于 启用 状态 ,可 用 undo stp 
enable 命令 去 使 能 交换 设备 或 端口 上 的 
STP/RSTP/MSTP 功能 。 也 可 用 stp disable 命令 去 
使 能 交换 设备 或 端口 上 的 MSTP/RSTP 功能 (在 
S2700/3700 系列 交换 机 中 仅 可 使 用 此 命令 去 使 能 
STP/RSTP/MSTP 功能 ); 在 S5700/6700/7700/9700 
系列 交换 机 中 的 MSTP 功能 处 于 禁用 状态 ， 可 用 
stp enable 或 者 undo stp disable 命令 使 能 交换 设 
备 或 端口 上 的 STP/RSTP/MSTP 功能 

配置 生成 树 的 收敛 方式 。 命 令 中 的 选项 说 明 如 下 。 
9 fast: 二 选 一 选项 ， 指 定 采用 快速 方式 ，ARP 表 
将 需要 更 新 的 表 项 直接 删除 

se normal: 二 选 一 选项 ， 指 定 采 用 普通 模式 ， 仅 将 
ARP 表 中 需要 更 新 的 表 项 快速 老化 

缺 省 情况 下 ,端口 的 STP/RSTP 收敛 方式 为 
normal ， 可 用 undo stp converge 命令 人 恢复 
STP/RSTP 收敛 方式 为 缺 省 值 。 建 议 选 择 normal 
收敛 方式 。 车 选择 fast 方式 ， 频繁 的 ARP 表 项 删 
除 可 能 会 导致 设备 CPU 占用 率 高 达 100%， 报 文 
处 理 超时 导致 网 络 振荡 





8.4.3 配置 影响 STP 拓 扑 收 敛 的 参数 














虽然 说 STP 不 能 实现 快速 收 化 ,但 是 诸如 网 络 直径 、 超 时 时 间 、Hello Time 定 时 器 、Max Age 定 时 器 、 
Forward Delay 定 时 器 等 参数 会 影响 其 收敛 速度 。 本 节 要 具体 介绍 这 些 参数 的 具体 配置 方法 ， 在 配置 影响 STP 
拓扑 收敛 的 参数 之 前 ， 需 要 完成 上 节 介 绍 的 STP 基本 功能 配置 。 下 面 先 具体 了 解 这 些 参数 的 作用 。 

1. 影响 STP 拓 x 扑 收 敛 的 参数 

(1) STP 网 络 直径 。 交 换 网 络 中 任意 两 台 终端 设备 都 通过 特定 路 径 彼此 相连 ， 这 些 路 径 由 一 系列 的 交 
换 设备 构成 。 网 络 直 径 就 是 指 交 换 网 络 中 任意 两 台 终端 设备 间 的 最 大 交换 设备 数 。 网 络 直径 越 大 ， 说 明 网 
络 的 规模 越 大 。 但 是 这 里 的 网 络 直 径 也 不 是 随便 设 的 ， 因 为 如 果 网 络 直径 设置 不 合理 ， 可 能 会 引起 网 络 收 
敛 速度 慢 ， 影 响 用 户 的 正常 通信 。 根 据 当 前 的 网 络 规模 ， 设 置 合适 的 网 络 直径 《通常 不 要 超过 7 个 设备 ) ， 
可 以 帮助 加 快 网 络 收敛 速度 。 建 议 同 一 环 网 中 的 所 有 交换 设备 配置 相同 的 网 络 直径 。 

(2) STP 超 时 时 间 。 在 运行 STP 生 成 树 算法 的 交换 网 络 中 ， 如 果 交 换 设备 在 配置 的 超时 时 间 内 没有 收 
到 上 游 设 备 发 送 的 BPDU 就 认为 此 上 游 设 备 已 经 出 现 故障 ， 本 设备 会 重新 进行 生成 树 计算 。 可 能 由 于 上 游 设 
备 繁忙 ， 有 时 设备 在 较 长 的 时 间 内 收 不 到 该 上 游 设 备 发 送 的 BPDU。 在 这 种 情况 下 一 般 不 应 该 重新 进行 生 
成 树 计算 ， 因 此 在 稳定 的 网 络 中 ， 可 以 配置 超时 时 间 ， 以 减少 网 络 资源 的 浪费 。 
(3) STP 定 时 器 。 在 STP 生 成 树 的 计算 过 程 中 ， 用 到 了 Forward Delay、Hello Time 和 Max Age 3 个 定时 














































































































































































































器 参数 ， 有 具体 参见 本 章 8.1.3 节 介绍 。 在 配置 这 3 个 定时 器 参数 时 ， 同 一 环 网 中 的 设备 建议 配置 一 致 的 定时 
器 值 。 但 是 ， 通 常情 况 下 ， 不 建议 通过 本 配置 直接 调整 上 述 3 个 时 间 参 数 ， 而 是 建议 通过 调整 网 络 直径 ， 使 
生成 树 协议 自动 调整 这 3 个 定时 器 参数 的 值 。 当 网 络 直 径 取 缺 省 值 时 ， 这 3 个 定时 器 参数 也 分 别 取 其 各 自 的 
缺 省 值 。 

(4) 影响 链 路 聚合 带宽 最 大 连接 数 。 接 口 的 路 径 开 销 是 生成 树 计算 的 重要 依据 ， 路 径 开 销 值 改 变 时 ， 
会 重新 进行 生成 树 计算 。 而 接口 的 路 径 开销 是 受 带宽 影响 的 ， 因 此 可 以 通过 改变 接口 带宽 来 影响 生成 树 的 
计算 。 当 接口 是 Eth-Trunk 的 聚合 接口 时 ， 可 配置 链 路 聚合 带宽 最 大 连接 数 ， 以 选择 适当 的 聚合 链 路 。 当 
然 ， 这 里 配置 的 影响 带宽 的 最 大 连接 数 仅 影响 生成 树 协议 计算 接口 的 链 路 开销 ， 并 不 影响 实际 链 路 带宽 。 
Eth-Trunk 接 口 在 转发 流量 时 的 实际 带宽 仍然 是 由 活动 接口 数 决定 的 。 

如 图 8-22 所 示 ， 设 备 A 与 设备 B 通 过 两 条 Eth-Trunk 链 路 相连 ，Eth-Trunk1 含 有 3 条 状态 为 Up 的 成 员 链 路 ， 
Eth-Trunk2 含 有 2 条 状态 为 Up 的 成 员 链 路 。 假 设 每 条 成 员 链 路 的 带宽 都 相同 ， 且 设备 A 被 选举 为 根 桥 ， 因 为 
Eth-Trunk1 的 带宽 大 于 Eth-Trunk2 的 带宽 。STP 计 算 后 ， 设 备 B 上 Eth-Trunk1 端 口 被 选 为 Root port，Eth- 
Trunk2 端 口 被 选 为 Alternate port。 
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SwitchA SwitchB 
(Eth-Trunkl 0 中 

9 S 

Root Bridge 

SwitchA SwitchB 

> 
配置 后 
Root Bridge X Alternate port 
口 Root port 


© Designated port 








图 8-22 影响 链 路 聚合 带宽 的 最 大 连接 数 示例 
































但 当 配 置 Eth-Trunk1 接 口 影响 带宽 的 最 大 连接 数 为 1 后 ，STP 计 算 的 Eth-Trunk1 接 口 的 路 径 开 销 大 于 Eth- 
Trunk2 的 开销 ， 将 会 重新 进行 生成 树 计 算 ， 设 备 B 上 Eth-Trunk1 接 口 将 变 为 Alternate port，Eth-Trunk2 变 为 
Root port 。 
2. 具体 配置 步骤 
下 面 针 对 以 上 4 项 影响 STP 拓 扑 收敛 的 参数 的 具体 配置 步骤 进行 介绍 ， 如 表 8-7 所 示 。 注 意 ， 这 里 的 参数 


配置 没有 严格 的 先后 顺序 。 











































































































表 8-7 STP 人 参数 配置 步骤 


配置 STP 
超时 时 间 


System-view 
例如 : <HUAWEI> 
System-yview 


stp bridge-diameter 
diameter 

例如 : [HUAWEI] stp 
bridge-diameter 5 


stp timer-factor 
timer-factor 

例如 : [HUAWEI] 
stp timer-factor 5 





进入 系统 视图 


配置 网 络 直 径 ( 指 任意 两 个 交换 设备 之 间 的 交换 设备 
个 数 的 最 大 值 )， 取 值 范围 为 2 一 7 的 整数 
执行 本 命令 后 ， 交 换 设备 会 自动 根据 配置 的 网 络 直 
径 设置 Hello Time、Forward Delay 与 Max Age 3 个 
时 间 参 数 为 较 优 值 , 且 在 配置 文件 中 会 出 现 Forward 
Delay 与 Max Age 两 个 时 间 参 数 的 具体 配置 值 ， 所 
以 建议 通过 本 命令 配置 的 网 络 直径 自动 去 配置 
Forward Delay 时 间 、Hello Time 时 间 以 及 Max Age 
时 间 ， 因 为 交换 设备 会 自动 根据 网 络 直径 计算 出 
Forward Delay 时 间 、Hello Time 时 间 以 及 Max Age 
时 间 的 最 优 值 

缺 省 情况 下 ， 生 成 树 的 网 络 直径 为 7， 可 用 undo stp 
bridge-diameter 命令 恢复 网 络 直径 为 缺 省 值 


配置 未 收 到 上 游 的 BPDU 就 重新 开始 生成 树 计算 的 超 
时 时 间 的 时 间 因 子 (或 者 Hello Time 的 时 间 倍 数 )， 取 


值 范围 为 1 一 10 的 整数 。 参 数 jactor 的 值 配置 越 小 ， 

表示 交换 设备 重新 进行 生成 树 拓扑 计算 的 超时 时 间 越 
短 ， 则 错误 判断 上 游 交换 设备 已 经 出 现 故 障 的 概率 越 
es 参数 factor 的 值 配置 越 大 ， 表 示 交 换 设备 重新 进 
行 生 成 树 拓扑 计算 的 超时 时 间 越 长 ， 会 导致 在 上 游 交 
换 设备 已 经 出 现 故 障 的 情况 下 ， 接 口中 断 流量 的 概率 
越 大 

在 S2700/3700/9300 系列 交换 机 中 ， 超 时 时 间 = 
Hello Time x Timer Factor， 在 S5700/6700/7700/ 
9700 系列 交换 机 中 ， 超 时 时 间 三 Hello Time x 3 x 
Timer Factor 

缺 省 情况 下 ，Timer Factor 的 取 值 为 3， 但 因为 不 同 
系列 交换 机 的 超时 时 间 计 算 公式 不 一 样 ， 所 以 最 终 
的 缺 省 超时 时 间 值 也 不 一 样 : 在 
S5700/6700/7700/9700 系列 交换 机 中 , 设备 未 收 到 上 
游 的 BPDU 就 重新 开始 生成 树 计 算 的 缺 省 超时 时 间 
是 Hello Timer 的 3 倍 ， 而 在 S5700/6700/7700/9700 


开始 生成 树 计算 的 缺 省 超时 时 间 是 Hello Timer 的 
9 倍 





续 


表 ) 


ELE | 二 | 


stp timer forward- 
delay forward-delay 
例如 : [HUAWEI] stp 
timer forward-delay 
2000 


stp timer hello 
hello-time 

例如 : [HUAWEI] stp 
timer hello 200 


stp timer max-age 
Max-age 

例如 : [HUAWEI] stp 
timer max-age 1000 


配置 设备 的 Forward Delay 时 间 ， 取 
值 范围 为 400 一 3000) 的 整数 砷 秒 ， 
步 长 是 100 

在 STP 协议 中 ， 接 口 由 Discarding 状 
态 转向 Forwarding 状态 时 要 经 历 两 个 
Forward Delay 时 间 的 延迟 。 在 枢 桥 上 
配置 的 Forward Delay 时 间 将 作为 粘 个 
生成 树 内 所 有 桥 的 Forward Delay 时 间 
缺 省 情况 下 ， 设 备 的 Forward Delay 
时 间 是 1 500 原 秒 ， 可 用 undo stp 
timer forward-delay 恢复 Forward 
Delay 时 间 为 缺 省 值 

配置 设备 的 Hello Time 时 间 , 取 值 范 
围 为 《100 一 1 000) 的 整数 厘 秒 ， 步 
长 为 100 

在 运行 STP 算法 的 网 络 中 ， 以 Hello 
Time 为 周期 ， 交 换 设备 会 定时 向 处 
于 同一 棵 生成 树 的 其 他 设备 发 送 
BPDU， 以 此 来 维护 生成 树 的 稳定 。 
通过 执行 本 命令 设置 BPDU 发 送 间 
隔 ， 维 护 网 络 拓扑 结构 的 稳定 。 如 果 
交换 设备 在 超时 时 间 内 没有 收 到 上 
游 交换 设备 发 送 的 BPDU， 则 生成 树 
会 重新 进行 计算 

在 根 桥 上 配置 的 定时 器 Hello Timer 
的 时 间 将 通过 BPDU 传递 下 去 , 所 以 
会 成 为 整 棵 生成 树 内 所 有 交换 设备 
的 定时 器 Hello Timer 的 时 间 

缺 省 情况 下 , 设备 的 Hello Time 时 间 
是 200 厘 秒 ， 可 用 undo stp timer 
hello 命令 恢复 交换 设备 发 送 BPDU 
的 时 间 间 隔 为 缺 省 值 

配置 设备 的 Max Age 时 间 ， 取 值 范围 为 
《600 一 4000) 的 整数 厚 秒 ， 步 长 为 100 
在 运行 STP 算法 的 网 络 中 , 交换 设备 
会 根据 端口 的 Max Age 时 间 判 断 从 
上 游 交 换 设备 收 到 的 BPDU 是 耕 超 
时 。 如果 BPDU 超时 ,交换 设备 将 该 
BPDU 老化 ， 同 时 阻塞 接收 该 BPDU 
的 端口 ， 并 发 出 以 自己 为 根 桥 的 
BPDU。 这 种 老化 机 制 可 以 有 效 控制 
生成 树 的 半径 . 通过 执行 本 命令 设置 
Max Age 定时 器 时 间 的 大 小 控制 存 
储 BPDU 的 超时 时 间 

缺 省 情况 下 ， 设 备 的 Max Age 时 间 是 
2000 厘 秒 ， 可 用 undo stp timer 
max-age 命令 恢复 交换 设备 端口 的 
BPDU 老化 时 间 为 缺 省 值 





根 桥 的 Hello 
Time、Forward 
Delay 和 Max 
Age 3 个 定时 器 
参数 取 值 之 间 
应 该 满足 如 下 
公式 , 否则 网 络 
会 频繁 振荡 : 
e 2 x (Forward 
Delay 一 10 
second) 三 Max 
Age 

e Max Age 三 
2x (Hello Time 
十 1.0 second) 
建议 使 用 前 面 
介绍 的 stp 


bridge-diameter 
命令 配置 网 络 
直径 ， 交 换 设 
备 会 自动 根据 
网 络 直 径 计 算 
出 Hello Time、 
Forward Delay 
以 及 Max Age3 
个 定时 器 参数 
的 较 优 值 





配置 任务 


命令 说 明 





配置 性 
影响 生成 


interface eth-trunk 
trunk-id 

例如 ; [HUAWEI 
interface eth-trunk 1 


进入 Eth-Trunk 接口 视图 





树 计算 的 
链 路 聚合 
带宽 最 大 


max bandwidth-affected- 配置 影响 链 路 聚合 带宽 接口 数目 的 上 限 阔 值 , 除 S2700SI 
linknumber link-number 子 系列 交换 机 的 取 值 范围 为 1 一 4 的 整数 外 , 其 他 支持 
[HUAWELEth-Trunkl] max | VRP 系统 的 $ 系列 交换 机 的 取 值 范围 为 1 一 8 的 整数 
bandwidth-affected- 缺 省 情况 下 ， 影 响 链 路 聚合 带宽 的 最 大 连接 数 除 
linknumber 5 S2700SI 子 系列 交换 机 为 4 外 ， 其 他 均 为 8 





查看 配置 
结果 








查看 生成 树 的 状态 信息 与 统计 信息 。 命 令 中 的 参数 说 
明 如 下 。 

® interface-type interface-number: 二 选 可 选 参 数 ， 
指定 要 查看 生 


display stp [ interface 


Se 信息 和 统计 信息 的 模 位 号 
e brief: 可 选项 ， 指 定 仅 显示 生成 树 的 状态 和 统计 信 
lot slot-id ] [ brief 

slot siorid] Lbrief] | 息 摘 要 ,如果 不 选择 此 可 选项 ,， 则 查看 生成 树 的 状态 

和 统计 的 详细 信息 

如 果 不 指定 以 上 两 个 可 选 参数 , 则 查看 交换 机 上 所 有 

端口 的 生成 树 的 状态 和 统计 信息 





【示例 】 当 没有 在 交换 机 上 执行 stp enable 命 令 时 ， 通 过 display stp 命 令 在 交换 机 上 显示 的 生成 树 的 状 
态 和 统计 信息 如 下 所 示 ， ne 


<HUAWEI >display stp 
Protocol Status :Disabled 


Protocol Standard :IEEE 802.1s 


Version :3 
CIST Bridge Priority :32768 


MAC address :00e0-6343-6800 


Max age(s) :20 
Forward delay(s) :15 
Hello time(s) :2 
Max hops :20 


Share region-configuration :Enabled 











表 8-8 在 未 启用 STP/RSTP 功 能 时 执行 display stp 命 令 的 输出 信息 字段 说 明 








Protocol Status 


显示 STP/RSTP 协议 状态 : Disabled 为 去 使 能 ，Enabled 为 使 能 





Protocol Standard 


显示 设备 当前 运行 的 生成 树 协议 标准 





Version 


显 协议 版 本 : 0 代表 STP, 2 代表 RSTP, 3 代表 MSTP 





CIST Bridge Priority 
MAC address 


显示 交换 设备 在 CIST〈 公 共 内 部 生成 树 )》 中 的 优先 级 ， 仅 运行 MSTP 协议 时 显示 
显示 交换 设备 的 MAC 地 址 





Max age(S) 


显示 BPDU 最 大 生存 时 间 





Forward delay(s) 


显示 端口 状态 迁移 的 延 时 





Hello time(s) 


显示 根 交 换 设 备 发 送 BPDU 的 周期 





Max hops 


显示 MST 域 中 的 最 大 跳 数 ， 仅 当 MSTP 协议 时 显示 





Share 
region-configuration 


8.4.4 STP 配 置 示 例 





ZI 





E 缺 省 是 启用 的 ， 
置 ， 














显示 共享 MST 区 域 配 置 ，enabled 表示 共享 进程 0 的 配置 





STP 方 面 的 配置 就 是 前 面 两 节 介 绍 的 那些 ， 比 较 简 单 ， 大 多 数 情 况 下 是 不 需要 什么 配置 的 ， 因 为 STP 功 


包括 根 桥 、 备 份 根 桥 的 指定 。 




















只 不 过 在 需要 使 用 STP 协 议 时 ， 配 置 生成 树 模式 为 STP， 至 于 其 他 的 均 可 根据 需要 选择 配 











当然 ， 通 常 是 建议 手工 指定 根 桥 和 备份 根 桥 ， 这 样 可 以 使 自己 更 加 清楚 





自己 交换 网 络 的 拓扑 结构 。 
本 示例 拓扑 结构 如 图 8-23 所 示 ， 当 前 网 络 中 存在 




















1SwitchA、SwitchB、SwitchC 和 SwitchD 构成 的 环 
路 ， 因 为 在 SwitchA 与 SwitchD 之 间 ， 以 及 SwitchB 与 SwitchC 之 间 都 存在 元 余 链 路 〈 本 来 这 些 链 路 都 是 可 以 
不 要 的 ) 现在 这 些 交 换 机 上 都 运行 STP 协议 ， 通 过 彼此 交互 信息 发 现 网 络 中 的 环 昌 

































































， 并 有 选择 地 对 某 个 端 
口 进行 阻塞 ， 最 终 将 环形 网 络 结构 修剪 成 无 环 路 的 树 形 网 络 结构 ， 从 而 防止 报 文 在 环形 网 络 中 不 断 循环 ， 





























避免 设备 由 于 重复 接收 相同 的 报 文 造成 处 理 能 力 下 降 。 






















GEO0/0/3 





GE0/0/3 








Sa GE0/0/1 GE0N/| os Noot 
SwitchD S | Bridge 
GE0/0/2 GEQ/0/2 | SwitchA 
GEO0/0/3 GE0/0/3 
SwitchC S SwitchB 
GE0/0/1 GE0/0/1 
GE0/0/2 GE0/0/2 
PC1 PC2 


X Blocked port 














图 8-23 STP 配 置 示例 拓扑 结构 























1. 配置 思路 分 析 


本 示例 在 参数 方面 没有 特别 的 要 求 ， 所 以 实际 本 示例 仅 需要 针对 8.4.2 节 的 介绍 配置 STP 的 基本 功能 即 
可 。 基 本 配置 思路 如 下 《〈 仅 针对 环 网 结构 中 的 4 台 交 换 机 ) 。 

(1) 配置 环 网 中 的 4 台 交 换 机 的 生成 树 协 议 工作 在 STP 模 式 。 

(2) 配置 根 桥 和 备份 根 桥 设备 ， 此 处 可 以 指定 SwitchA 为 根 桥 ，SwitchD 为 备份 根 桥 。 


(3) 配置 端口 的 路 径 开 销 值 ， 实 现 将 该 端口 阻塞 。 此 处 可 以 加 大 SwitchC 的 GEO/0/1 端 口 的 开销 值 ， 以 
阻塞 该 端口 ， 使 得 数据 不 能 从 该 端口 发 送 。 


(4) 在 四 台 交 换 机 上 使 能 STP 功 能 。 但 与 PC 机 相连 的 端口 不 用 参与 STP 计 算 ， 建 议 将 其 去 使 能 STP。 
2. 具体 配置 步 又 


we 


下 面具 体 介绍 以 上 配置 任务 中 的 具体 配置 步骤 。 注 意 ， 要 在 对 应 交换 机 上 配置 。 


(1) 在 4 台 环 网 结构 中 的 交换 机 上 配置 STP 工 作 模式 。 因 为 4 台 交 换 机 上 的 配置 方法 完全 一 样 ， 故 下 国 
仅 以 SwitchA 交 换 机 上 的 配置 为 例 进行 介绍 ， 其 他 交换 机 的 配置 参见 即 可 。 
<HUAWEI>system-view 










































































































































































i 

































































































































































也 





的 路 径 开销 缺 省 值 ) ， 实 现 将 该 端口 的 阻塞 。 


[HUAWEI] sysname SwitchA 
[SwitchA] stp mode stp 

(2) 配置 SwitchA 为 根 桥 ，SwitchD 为 备份 根 桥 。 
[SwitchA] stp root primary 


























[SwitchD] stp root secondary 
(3) 配置 端口 的 路 径 开销 计算 方法 ， 同 时 将 SwitchC 上 的 GE0/0/1 端 口 的 开销 值 增 大 (大 于 对 应 类 型 
































引 E 

















3 



























































端口 路 径 开 销 值 取 值 范围 由 路 径 开 销 计算 方法 决定 ， 这 里 以 使 用 华为 私有 计算 方法 为 例 。 同 样 因为 4 台 


















































交换 机 上 的 路 径 开销 计算 方法 的 配置 方法 完全 一 样 ， 在 此 仅 以 SwitchA 上 的 配置 为 例 进行 介绍 。 但 同一 网 络 


内 所 有 交换 设备 的 端口 路 径 开 销 应 使 用 相同 的 计算 方法 。 
































[SwitchAj] stp pathcost-standard legacy 
然后 增 大 SwitchC 上 的 GE0/0/1 端 口 的 开销 值 ， 此 处 为 20 000《〈 王 兆 端 口 的 缺 省 值 为 2) 。 
[SwitchC] interfacegigabitethernet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] stp cost 20000 
(4) 在 4 台 交 换 机 使 能 STP 功能 ， 以 消除 二 层 坏 路 。 但 在 此 之 前 要 先 去 使 能 连接 PC 上 的 端口 (如 

































































SwitchB 的 GE0/0/2 端 口 和 SwitchC 的 GE0/0/2 端 口 ) 上 的 STP 功 能 。 








[SwitchB] interfacegigabitethernet 0/0/2 

[SwitchB-GigabitEthernet0/0/2] stp disable 

[SwitchB-GigabitEthernet0/0/2] guit 

[SwitchC] interfacegigabitethernet 0/0/2 

[SwitchC-GigabitEthernet0/0/2] stp disable 

[SwitchC-GigabitEthernet0/0/2] quit 

然后 在 4 台 交 换 机 上 全 局 使 能 STP。 同 样 因为 四 台 交 换 机 上 的 使 能 方法 的 配置 方法 完全 一 样 ， 在 此 仪 以 







































































SwitchA 上 的 配置 为 例 进行 介绍 。 


肯定 端口 。 可 通过 在 SwitchB 上 执行 display stp interface gigabitethernet 0/0/1 brief 命 令 查看 端口 
GigabitEthernet0/0/1 状 态 来 验证 ， 结 果 如 下 ， 从 中 可 以 看 出 GE0/0/1 端 口 在 生成 树 选举 中 已 成 为 指定 端口 


[SwitchA] stp enable 
以 上 配置 完成 后 ， 过 段 时 间 ， 在 网 络 计算 稳定 后 执行 以 下 命令 ， 以 验证 配置 结果 。 
在 SwitchA 上 执行 display stp brief 命 令 查 看 端口 状态 和 端口 的 保护 类 型 ， 结 果 如 下 。 
[SwitchA] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
将 SwitchA 配 置 为 根 桥 后 ， 与 SwitchB、SwitchD 相 连 的 GE0/0/2 和 GE0/0/1 端 口 在 生成 树 计 算 中 被 选举 为 


































































































































































































处 于 Forwarding 状 态 。 


[站 





E 成 树 选举 中 成 为 根 端口 ， 处 于 Forwarding 状 态 ， 而 GE0/0/1 端 口 在 生成 树 选举 中 成 为 Alternate 端 口 ， 处 于 


[SwitchB] display stp interfacegigabitethernet0/0/1 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
同样 可 在 在 SwitchC 上 执行 display stp brief 命 令 查 看 端口 状态 ， 结 果 如 下 ， 从 中 可 以 看 出 GE0/0/3 端 口 在 







































































Discarding 状 态 。 


[SwitchC] display stp brief 
MSTID Port 
0 GigabitEthernet0/0/1 
0 GigabitEthernet0/0/3 














8.4.5 配置 影响 RS 





通过 以 上 查看 操作 就 可 以 验 订 








TP 拓扑 收敛 的 参数 














Role STP State Protection 
ALTE DISCARDING NONE 
ROOT FORWARDING NONE 


E 以 上 配置 是 正确 、 成 功 的 。 





























RSTP 在 STP 志 











呈 














起 础 上 进行 改进 之 后 ， 
速 收敛 。 其 本 身 的 基本 功能 
置 之 前 ， 需 完成 RSTP 基 本 功能 配置 。 
.影响 拓扑 收敛 的 参数 

在 RSTP 中 ， 影 
算 的 链 路 聚合 带宽 最 




















忆 置 仍 如 STP 基 本 功能 配置 方法 差不多 ， 已 在 8.4.2 节 进行 了 介绍 。 在 进行 本 节 配 














通过 配置 端口 的 链 路 类 型 、 端 口 是 否 支持 快速 迁移 机 制 等 ， 实 现 快 















































响 拓扑 收敛 的 参数 除了 STP 中 介绍 的 网 络 直径 、 超 时 时 间 、 三 个 定时 器 、 影 响 生 成 树 计 
大 连接 数 这 4 个 外 ， 还 有 端口 的 链 路 类 型 、 端 口 的 最 大 发 送 速 率 、 是 否 执行 MCheck 操 






































作 、 边 缘 端 口 和 BPDU 报 文 过 滤 功 能 启用 等 几 个 方面 。 下 面 介绍 这 几 个 在 RSTP 新 增 的 影响 拓扑 收敛 的 参 





NW 
o 


(1) 端口 的 链 路 类 型 
点 对 点 链 路 可 帮助 实现 快速 收敛 。 在 RSTP 中 ， 如 果 与 点 对 点 链 路 相连 的 两 个 端口 为 根 端口 或 者 指定 端 

















的 转发 延迟 时 间 。 
































口 ， 则 端口 可 以 通过 传送 同步 报 文 (Proposal 报 文 和 Agreement 报 文 ) 快速 迁移 到 转发 状态 ， 减 少 了 不 必要 


(2) 端口 的 BPDU 报 文 最 大 发 送 速率 
接口 在 每 个 Hello Time 时 间 内 BPDU 的 最 大 发 送 数目 值 越 大 ， 表 示 单 位 时 间 内 发 送 的 BPDU 越 多 ， 占 用 








的 系统 资源 也 越 多 。 适 当地 配置 该 值 可 以 限制 接口 发 送 BPDU 的 速度 ， 防 止 在 网 络 拓扑 动荡 时 ，RSTP 占 用 


过 多 的 带宽 资源 。 








(3) 执行 MCheck 操 作 








在 运行 RSTP 的 设备 J 








工作 模式 。 但 如 果 某 



































上 ， 如 果 某 个 接口 和 另 一 台 运 行 STP 的 设备 连接 ， 则 该 接口 会 自动 迁移 到 STP 兼 容 
时 间 运 行 STP 的 设备 被 关机 或 移 走 〈 还 可 能 是 因为 原来 STP 的 交换 设备 切换 为 RSTP 












































模式 ) ， 原 来 自动 迁移 到 STP 兼 容 工作 模式 的 接口 无 法 自动 迁移 回 RSTP 模 式 。 这 时 就 需要 在 该 接口 上 执行 





MCheck 操 作 ， 将 接 


(4) 边缘 端 















































叫做 边缘 端口 。 边 缘 端 口 不 接收 处 到 












































口 手动 迁移 到 RSTP 模 式 。 

口 和 BPDU 报 文 过 滤 功 能 

在 RSTP 里 面 ， 位 于 整个 网 络 的 边缘 〈 即 不 再 与 其 他 交换 设备 连接 ， 而 是 直接 与 终端 设备 直 连 ) 的 端口 
配置 BPDU 报 文 ， 不 参与 RSTP 运 算 ， 可 以 由 Disable 直 接 转 到 Forwarding 



























































状态 ， 且 不 经 历时 延 ， 就 像 在 端口 上 将 RSTP 禁 


配置 为 边缘 端口 后 ， 端 口 仍然 会 发 送 BPDU 报 文 ， 这 可 能 导致 BPDU 报 文 发 送 到 其 他 网 络 ， 引 起 其 他 区 

















络 产生 振荡 。 因 贞 





边缘 端口 和 BPDU 报 文 过 滤 功 能 可 以 在 系统 视图 下 全 局 配置 ， 也 可 在 具体 端口 的 接口 视图 下 配置 ， 通 常 





可 以 配置 边缘 端口 














FP-4 

















的 BPDU 报 文 过 滤 功 能 ， 使 边缘 端口 不 处 理 、 不 发 送 BPDU 报 文 。 

































































是 在 具体 端口 的 接口 视图 下 ， 因 为 不 可 能 交换 机 上 所 有 端口 都 是 边缘 端口 。 当 然 如 果 交 换 机 上 大 多 数 端 口 


















































为 边缘 端口 ， 则 可 先 通 过 全 局 配置 使 所 有 端口 成 为 边缘 端口 ， 然 后 对 不 要 配置 为 边缘 的 少数 端口 恢复 为 非 
边缘 端口 类 型 即 可 。 








全 局 配置 后 ， 











设备 上 所 有 的 端口 





























\ 会 主动 发 送 BPDU 报 文 ， 且 均 不 会 主动 与 对 端 设 备 直 连 端口 协商 ， 所 























有 端口 均 处 于 转发 状态 ; 
端口 协商 STP 协 议 状 态 。 
2. 有 具体 配置 步骤 











在 接口 配置 后 ， 对 应 端口 将 


不 处 理 、 不 发 送 BPDU 报 文 ， 无 法 成 功 与 对 端 设备 直 连 








因为 RSTP 中 前 面 四 项 参数 与 STP 中 的 对 应 参数 配置 方法 完全 一 样 ， 所 以 可 直 接 参见 8.4.3 节 表 8-7 即 可 ， 











下 面具 体 介绍 前 面 后 
些 参数 的 配置 也 是 根据 需要 可 选 的 。 




















看 四 项 影响 RSTP 拓 扑 收敛 的 各 项 参数 的 具 

















体 配 置 步骤 ， 如 表 8-9 所 示 ， 但 要 注意 ， 这 








表 8-9 RSTP 参 数 配 置 步 又 



















































































system-view 
system-view 
interface interface-type 
2 interface-number 进入 参与 生成 树 协议 计算 的 接口 视图 。 此 接口 为 
例如 : [HUAWEI]jinterface | 指定 端口 
gigabitethernet 0/0/1 
配置 指定 端口 的 链 路 类 型 ， 命 令 中 的 参数 说 明 
如 下 。 
。 auto: 多 选 一 选项 ， 指 定 由 生成 树 协议 自动 检 
配置 端口 测 与 该 端口 相连 的 链 路 是 否 是 点 到 点 链 路 
的 链 路 ® force-false: 多 选 一 选项 ， 指定 与 当前 端口 相连 
类 型 的 链 路 不 是 点 到 点 链 路 
jy stp point-to-point 。 force-true: 多 选 一 选项 ， 指 定 与 当前 端口 相连 
ee 
3 | _ 如 果 当 前 以 太 网 端口 工作 在 全 双 工 模式 ， 则 当 
GEOuAwGGat | 前 端口 相连 的 链 路 是 点 到 点 链 路 ， 选 反 
point-to-point force-true force-true 选项 ， 以 实现 快速 收敛 。 如 果 当 前 以 
太 网 端口 工作 在 半 双 工 模式 ， 可 通过 执行 选择 
force-true 选项 强制 链 路 类 型 为 点 对 点 链 路 ， 实 
现 快速 收敛 
缺 省 情况 下 ， 指 定 端口 自动 识别 是 否 与 点 对 点 链 
路 相连 ， 可 用 undo stp point-to-point 命令 恢复 指 
定 端口 的 链 路 类 型 为 缺 省 类 型 
加 村 和 配置 当前 端口 (在 接口 视图 下 配置 ) 或 本 设备 上 
Re 所 有 端口 〈 在 系统 视图 下 配置 ) 在 单位 时 间 内 
矶 演 端 口 出 加 [HUAWEL a 的 最 大 发 送 数目 ， 取 值 范围 为 1 一 255 的 
玖 BPD | 4 | stransmitimtts | 摧 省 情况 下 ， 端 口 每 秒 BPDU 的 最 大 发 送 数目 为 
发 送 速率 或 6， 可 用 undo stp transmit-limit 命令 恢复 当前 端 
例如 ， [HUAWEI]stp 口 〈 在 接口 视图 下 配置 时 ) 或 本 设备 上 所 有 端口 
transmit-limit S (在 系统 视图 下 配置 时 ) 每 秒 发 送 BPDU 的 最 大 数 
目 为 缺 省 值 
stp mecheck 在 具体 接口 视图 下 执行 接口 
例如 : [HUAWEI- MCheck 操作 , 将 当前 端口 执 醒 徊 
GigabitEthernet0/0/1] 行 自动 迁移 回 原来 的 RSTP | . 方式 
5 stp mcheck 模式 J 式 
配置 设备 
执行 System-view 人 
MCheck 例如 : [HUAWEI 进入 系统 视图 3 
操作 System-view 全 局 
s 交换 设备 上 所 有 端口 执行 | 方式 
.ee 自动 迁移 回 原来 的 RSTP 
模式 











配置 任务 | 步骤 说 明 

配置 当前 设备 上 所 有 端口 为 边缘 

端口 。 端口 配置 成 边缘 端口 后 , 如 

果 收 到 BPDU 报 文 ， 交 换 设 备 会 
自动 将 边缘 端口 设置 为 非 边 缘 端 

口 , 并 重新 进行 生成 树 计算 。 为 防 

止 攻击 者 仿造 BPDU 报 文 导 致 边 

缘 端 口 属性 变 成 非 边 缘 端 口 , 建议 

stp edged-port default | 在 系统 视图 下 执行 stp 

例如 : [HUAWEI]stp | bpdu-protection 命令 配置 交换 设 
edged-port default 备 的 BPDU 保护 功能 ,配置 BPDU 

保护 功能 后 ， 如 果 边 缘 端 口 收 到 

BPDU 报 文 ， 边缘 端 口 将 会 被 
shutdown， 边 缘 端 口 属 性 不 变 全 局 
缺 省 情况 下 ,设备 的 所 有 端口 为 非 | 配置 
边缘 端口 ， 可 用 undo stp 万 式 
edged-port default 命令 恢复 交换 
设备 所 有 端口 为 非 边 缘 端 口 

配置 当前 设备 上 所 有 端口 为 BPDU 
filter 端口 。 在 接口 视图 下 使 用 命令 

stp bpdu-filter disable 命令 将 不 需 

stp bpdu-filter default | 要 配置 成 BPDU filter 端口 的 端口 

例如 : [HUAWEI] stp | 恢复 为 非 BPDU filter 端口 























配置 边缘 bpdu-filter default 缺 省 情况 下 ， 设 备 的 所 有 端口 为 非 
端口 和 BPDU filter 端口 可 用 undo stp 
BPDU bpdu-filter default 命令 配置 当前 设 一 一 
报 人 备 上 所 有 端口 为 非 BPDU filter 端口 
功能 





Interface interface-type 

interface-number 进入 参与 生成 树 协 议 计 算 的 以 
例如 : [HUAWEI]interface | 太 接口 视图 

gigabitethernet 0/0/1 





将 端口 配置 成 边缘 端口 。 与 终端 
相连 的 端口 不 用 参与 生成 树 计 
算 ， 可 以 通过 执行 本 命令 将 当前 
端口 配置 成 边缘 端口 ， 该 端口 便 
不 再 参与 生成 树 计 算 ， 从 而 加 快 
网 络 拓扑 的 收敛 时 间 ， 加 强 网 络 


的 稳定 性 接口 
stp edged-port enable | 但 是 当 通过 本 命令 将 当前 端口 | 配置 
例如 ，[HUAWEL- 配置 成 边缘 端口 后 ， 仍 然 会 发 送 | 方式 

8 GigabitEthernet0/0/1] | BPDU 报 文 ， 这 可 能 导致 BPDU 
stp 报 文 发 送 到 其 他 网 络 ， 引 起 其 他 


edged-port enable 网 络 产生 振荡 。 这 里 还 要 通过 下 
- 步 的 stp bpdu-filter enable 命 
令 解决 
缺 省 情况 下 ， 交 换 设备 的 所 有 端 
口 都 是 非 边缘 端口 ， 可 用 stp 
edged-port disable 或 undo stp 
edged-port 命令 配置 当前 端 品 为 
缺 省 的 非 边缘 端口 属性 








配置 任务 

配置 当前 端口 为 BPDU filter 端 

口 。 配 置 本 命令 后 ， 该 端口 将 无 

配置 边缘 法 成 功 与 对 端 设备 直 连 端口 协 
od 和 stp bpdu-filter enable i 协 议 状态 


BPDU 例如 : [HUAWEI- ”| 缺 省 情况 下 ， 设 备 的 所 有 端口 为 


报 文 过 滤 GigabitEthernet0/0/1] 


功能 stp bpdu-filter enable 峰 BPDU filter 端口 ， 可 用 stp 
已 


bpdu-filter disable 或 undo stp 
bpdu-filter 命令 配置 当前 端口 为 
非 BPDU filter 端口 














8.4.6 配置 RSTP 保 护 功能 











华为 公司 的 数据 通信 设备 支持 如 表 8-3 所 示 的 RSTP 保 护 功能 ， 用 户 可 根据 实际 环境 任 选 j 
保护 功能 配置 。 当 然 ， 也 可 以 不 配置 这 些 保护 功能 。 


其 中 一 个 或 多 个 





RSITP 保 护 功 能 配置 步骤 如 表 8-10 所 示 。 各 保护 功能 的 配置 没有 严格 的 先后 顺序 。 








配置 BPDU 
保护 功能 











表 8-10 RSTP 保 护 功能 的 配置 步骤 


System-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 








stp bpdu-protection 
例如 : [HUAWEI]stp 
bpdu-protection 





配置 边缘 端口 的 BPDU 保护 功能 ,配置 BPDU 
保护 功能 后 , 如 果 边 缘 端口 收 到 BPDU 报 文 ， 
边缘 端口 将 会 被 error-down， 边 缘 端 口 属性 
不 变 

如 果 用 户 希 望 被 error-down 的 边缘 端口 可 自动 恢 
复 ， 可 通过 在 系统 视图 下 执行 error-down auto- 
recoverycause bpdu-protection interval interval-value 
命令 ， 配 置 使 能 端口 自动 恢复 功能 ， 并 设置 延迟 
时 间 ， 使 被 关闭 的 端口 经 过 延 时 时 间 后 能 够 自动 
恢复 。 但 在 配置 自动 恢复 功能 时 需要 注意 以 下 几 
个 方面 。 

。 缺 省 情况 下 ， 未 使 能 处 于 error-down 状态 的 接 
口 状态 自动 恢复 为 Up 的 功能 , 所 以 没有 缺 省 延迟 
时 间 值 。 当 用 户 配 置 本 命令 时 ， 必 须 指定 恢复 延 
述 时 间 

e 参数 interval-value 取 值 范围 为 30 一 86 400) 

的 整数 秒 ， 取 值 越 小 表示 接口 的 管理 状态 自动 恢 
复 为 Up 的 延迟 时 间 越 短 , 接口 Up/Down 状态 振 
荡 频 率 越 高 ， 取 值 越 大 表示 接口 的 管理 状态 自动 
恢复 为 Up 的 延迟 时 间 越 长 ， 接 口 流 量 中 断 时 间 
越 长 

。 自动 恢复 功能 仅 对 配置 了 本 命令 之 后 发 生 
error-down 的 端口 有 效 ， 对 配置 此 命令 之 前 已 经 
error-down 的 接口 不 生效 

缺 省 情况 下 ， 设 备 的 BPDU 保护 功能 处 于 去 使 能 
状态 ， 可 使 用 undo stp bpdu-protection 命令 去 使 
能 设备 的 BPDU 保护 功能 





命令 


说 明 





配置 TC 
保护 功能 


配置 端口 的 
Root 保护 
功能 


配置 端口 的 
环 路 保护 
功能 


stp tc-protection 
例如 ; [HUAWEI] stp 
tc-protection 


stp tc-protection 
threshold threshold 
例如 ; [HUAWEI] stp 
tc-protection 
threshold 10 


interface imerface-fype 
interface-number 

例如 : [HUAWEIinterface 
gigabitethernet 0/0/1 


使 能 交换 设备 对 TC 类 型 BPDU 报 文 的 保护 功能 。 
执行 本 命令 , 在 单位 时 间 内 交换 设备 处 理 TC 类 型 
的 BPDU 报 文 的 次 数 可 通过 下 一 步 的 stp 
tc-protection threshold 命令 配置 

缺 省 情况 下 , 交换 设备 的 TC 保护 功能 处 于 关闭 状 
态 ， 可 用 undo stp te-protection 命令 去 使 能 设备 
对 TC 类 型 BPDU 报 文 的 保护 功能 

配置 交换 设备 在 收 到 TC 类 型 BPDU 报 文 后 ， 音 
位 时 间 内 处 理 TC 类 型 BPDU 报 文 ， 并 立即 出 新 
转发 表 项 的 冰 值 ,参数 threshold 的 取 值 范围 为 1 一 
255 的 丫 数 

【说 明 〗 如 有 果 在 单位 时 间 内 ， 交 换 设备 收 到 拓扑 变 
化 报 文 敦 量 大 于 配置 的 闵 值 ， 那 么 设备 只 会 处 理 
阅 值 指定 的 次 数 。 对 于 其 他 超出 阁 值 的 拓扑 变化 
报 文 ， 定时 器 到 期 后 设备 只 对 其 处 理 一 次 。 这 样 
可 以 避免 频繁 地 删除 MAC 地 址 表 项 和 ARP 表 项 ， 
从 而 达到 保护 设备 的 目的 

缺 省 情况 下 ， 单 位 时 间 内 处 理 TC 类 型 BPDU 
报 文 并 立即 刷新 转发 表 项 的 缺 省 值 是 1， 可 用 
undo stp te-protection threshold 命令 恢复 缺 
省 值 


进入 指定 端口 的 进口 视图 





stp root-protection 
例如 : [HUAWEI- 
GigabitEthemet0/0/1] 
stp root-protection 


quit 
例如 : [HUAWEI- 
GigabitEthernetO/O/1] quit 


配置 以 上 指定 端口 〈 只 能 在 指定 端口 下 配置 ) 的 
Root 保护 功能 

【说 明 】 在 指定 端口 使 能 根 保护 功能 后 ， 收 到 优 
先 级 更 高 的 BPDU 时 该 六 口 状态 将 进入 
Discarding 状态 ， 不 再 转发 报 文 。 在 经 过 一 段 时 
间 (通常 为 两 倍 的 Forward Delay) 后 ， 如 果 端 
口 一 直 没 有 再 收 到 优先 级 较 高 的 BPDU, 该 指定 
端口 会 自动 恢复 到 正常 的 Forwarding 状态 ， 但 
配置 了 根 保护 的 端口 不 可 以 再 配置 下 面 将 要 介 
绍 的 环 路 保护 功能 

缺 省 情况 下 ， 端 口 的 Root 保护 功能 处 于 去 使 能 状 
态 , 可 用 undo stp root-protection 命令 去 使 能 当前 
指定 端口 的 根 保护 功能 





退出 以 上 指定 端口 的 接口 视图 ， 返 回 系 统 视图 








Interface interface-type 
interface-number 

例如 : [HUAWEUinterface 
gigabitethernet 0/0/2 


进入 根 端 口 或 者 Alternate 端口 的 接口 视图 





配置 端口 的 


环 路 保护 
功能 





stp loop-protection 
例如 : [HUAWEI- 
GigabitEthernet0/0/2]stp 
loop-protection 





配置 交换 设备 根 端口 或 Alternate 端口 的 环 路 保护 
功能 ， 不 能 在 指定 端口 下 配置 

【说 明 】 在 启动 了 环 路 保护 功能 后 ， 如 果 根 端口 或 
Alternate 端口 长 时 间 妆 不 到 来 自 上 游 设备 的 
BPDU 报 文 时 , 则 向 网 管 发 出 通知 信息 (此 时 根 端 
口 会 进入 Discarding 状态 ) ， 而 阻塞 端口 则 会 一 直 
保持 在 阻塞 状态 ， 不 转发 报 文 ， 从 而 不 会 在 网 络 
中 形成 环 路 。 直 到 根 端口 或 Alternate 端口 收 到 
BPDU 报 文 ， 端 口 状 态 才 恢复 正常 为 Forwarding 
状态 。 配 置 本 命令 后 就 可 以 防止 这 种 现象 发 生 
由 于 Alternate 端口 是 根 端 口 的 备份 端口 ， 如 果 交 
换 设 备 上 有 Alternate 端口 ， 需 要 在 根 端口 和 
Alternate 端口 上 同时 配置 环 路 保护 。 但 配置 了 根 
保护 的 端口 不 可 以 再 配置 环 路 保护 功能 
缺 省 情况 下 ， 端 口 的 环 路 保护 功能 处 于 关闭 状态 ， 
可 使 用 undo stp loop-protection 命令 去 使 能 当前 
端口 的 环 路 保护 功能 














8.4.7 





配置 设备 支持 和 其 他 厂商 设备 互通 的 参数 


























口 








的 快速 迁移 方式 。 
1. 普通 方式 (Normal mode 
这 是 一 种 正常 

文 的 端口 为 根 端口 ， 

Forwarding 状 态 。 具 体 流程 如 下 。 





















































在 RSTP 协 议 中 ， 网 络 收 敛 主要 依靠 P/A 协 商机 制 ， 但 不 
样 。 为 了 实现 华为 公司 的 数据 通信 设备 与 其 他 厂商 设备 互通 
前 ， 华 为 S 系 列 交 换 机 的 RSTP P/A 机 i 




















2 


并 自动 进入 到 Forwarding 状态 ， 而 收 到 Agreement 报 文 的 端 


， 需 要 根据 其 人 
趾 支 持 以 下 两 种 模式 。 











同 厂 商 设备 所 支持 的 P/A 机 制 工 作 方式 不 完全 一 
也 厂商 设备 支持 的 P/A 机 制 选择 端 


所 | 





的 P/A 机 制 工 作 方 式 ， 双 方 是 通过 一 对 Proposal/Agreement 报 文 进行 协商 ， 收 到 Proposal 报 








口 为 指定 端口 





， 也 自动 进入 














(1) 上 游 设备 发 送 Proposal 报 文 ， 请 求 进行 快速 迁移 ， 下 游 设备 在 接收 后 把 与 上 游 设 备 相连 的 端口 设 
































2 


置 为 根 端口 ， 并 阻塞 所 有 非 边缘 端口 
(2) 然后 下 游 设 备 回应 Agreement 
口 ， 指 定 端 口 进入 Forwarding 状 态 。 
增强 模式 (Enhanced mode) 

















， 然 后 根 端口 



































这 种 方式 特别 适 ) 

















文 ， 在 到 达 下 游 非 同一 厂商 的 设 1 
Agreement 报 文 ， 强 制 下 游 设备 的 根 端口 
报 文 ， 响 应 上 游 设 备 发 送 的 Proposal 报 文 ， 使 上 游 设备 的 指定 端 
上 游 设 备 发 送 Proposal 报 文 (Flages 字 段 Bit1 位 置 1 的 BPDU 报 文 ) ， 请 求 进 行 快速 迁移 ， 下 游 
所 有 非 边缘 端口 〈 包 括 根 端口 ) 。 











(1) 首先 





设备 在 接收 后 把 与 上 游 设 备 相连 的 端口 设置 为 根 端口 ， 并 
上 游 设备 继续 发 送 Agreement 报 文 (Flages 字 段 Bit6 位 置 1 的 BPDU 报 文 ) ， 下 游 设 备 在 接收 后 











(2) 然后 
强制 根 端口 转 为 Forwarding 状 态 。 








(3) 最 后 下 游 设备 回应 Agreement 报 文 ，j 

















， 并 进入 Forwarding 状 态 。 
在 运行 生成 树 的 通信 网 络 : 


























机 制 ， 选 择 接口 


其 他 厂商 设备 的 Proposal/Agreement 机 第 
使 用 增强 的 快速 迁移 机 向 


] 于 不 同 厂商 设备 之 间 的 P/A 协 商 。 在 这 种 工作 方式 中 ，|] 





备 的 根 端口 时 可 能 
进入 Forwarding 状 态 。 这 



























































阻 




















， 如 果 华 为 公司 的 数据 通信 设备 与 其 





民 文 ， 上 游 设备 在 接收 后 把 与 下 游 设 备 相连 的 端 


时 下 游 设备 的 根 站 
也 进入 Forwarding 状 态 。 


上 游 设 备 在 接收 后 把 与 下 游 设 备 相连 的 端 


自动 进入 Forwarding 状 态 。 























设置 为 指 

















定 端 





上 游 设 备 发 送 的 Proposal 报 

\ 能 马上 进入 Forwarding 状 态 ， 这 时 上 游 设 备 再 发 送 一 个 
者 口才 可 以 发 送 Agreement 
有 具体 流程 





如 下 。 











设置 为 指定 端 


























I 还 是 普通 的 快速 迁移 机 制 。 














配置 的 方法 很 简单 ， 只 需要 直接 在 其 
令 配置 端口 使 用 普通 的 快速 迁移 方式 。 缺 省 


agreement-check 命令 配置 当前 接口 


























8.4.8 RSTP 功 能 配置 示例 








本 示例 仍 以 8.4.4 节 


都 运行 RSTP 协 议 ， 通 过 彼此 交互 信息 发 现 
络 结构 修剪 成 无 环 路 的 树 形 网 络 结构 ， 从 而 防止 报 文 在 环形 网 络 中 

















的 报 文 造成 处 理 能 力 下 降 。 
1. 配置 思路 分 析 
































的 图 8-23 为 例 进 行 介 

















也 厂商 设备 的 端口 的 接 图 
情况 下 ， 端 口 使 用 ] 
兽 强 的 快速 迁移 机 制 。 








视 



























































一 





使 用 ] 





























本 示例 的 配置 方法 与 8.4.4. 节 STP 配置 示例 的 配置 方法 是 差不多 的 ， 











口 直接 配置 为 边缘 端口 











， 过 滤 BPDU 报 文 ， 同 时 可 配置 一 些 保 护 功 能 ， 如 本 示例 就 可 以 








兽 强 的 快速 迁移 机 


网 络 中 的 环 路 ， 并 有 选择 地 对 某 个 端 
不 断 循 环 ， 避 免 设 备 


也 三 商 设备 混合 组 网 ， 可 能 会 因为 与 
I 不 同 导致 互通 失败 。 需 要 根据 其 他 厂商 设备 的 Proposal/Agreement 


下 执行 stp no-agreement-check 命 





关 ， 可 用 undo stp no- 


绍 ， 环 网 中 的 SwitchA、SwitchB、SwitchC 和 SwitchD 4 台 交 换 机 














进行 阻 




















， 最 终 将 环形 网 




















于 重复 接收 相同 

















只 是 在 RSTP' 





可 以 把 连接 PC 的 端 























能 ， 使 得 SwitchA 总 是 为 根 桥 。 


\ 体 的 配置 思路 如 下 〔 仪 针对 环 网 结构 ! 








的 4 台 交 换 机 》。 

















ves 








RSTP 根 保护 功 




















(1) 配置 环 网 中 的 4 台 交 换 机 的 生成 树 协 议 工作 在 RSTP 模 式 。 








《2) 配置 根 桥 和 备份 根 桥 设 备 ， 此 处 可 以 指定 SwitchA 为 根 桥 ，SwitchD 为 备份 根 桥 。 





















































(3) 配置 3 
阻塞 该 端口 ， 使 得 数据 不 能 从 该 端口 发 送 。 





























三 

































































(4) 在 4 台 交 换 机 上 使 能 RSTP 功 能 。 但 与 PC 机 相连 的 端口 不 用 参与 RSTP 计 算 ， 配 置 为 边缘 端口 





























配置 BPDU 过 滤 。 

















央 口 的 路 径 开 销 值 ， 实 现 将 该 端口 阻塞 。 此 处 可 以 加 大 SwitchC 的 GE0/0/1 端 口 的 开销 值 ， 以 


， 并 


(5) 在 SwitchA 的 GE1001 和 GE1/0/2 端 口上 启用 根 保护 功能 ， 使 它们 总 为 指定 端口 ， 从 而 使 SwitchA 总 





为 根 桥 。 
2. 具体 配置 步 又 


SE 


下 面具 体 介绍 以 上 配置 任务 中 的 具体 配置 步骤 。 注 意 ， 要 在 对 应 交换 机 上 配置 。 

















































































































(1) 在 4 台 环 网 结构 中 的 交换 机 上 配置 STP 工 作 模 式 。 因 为 4 台 交 换 机 上 的 配置 方法 完全 一 书 
























































仅 以 SwitchA 交 换 机 上 的 配置 为 例 进行 介绍 ， 其 他 交换 机 的 配置 参见 即 可 。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] stp mode rstp 
(2) 配置 SwitchA 为 根 桥 ，SwitchD 为 备份 根 桥 。 
[SwitchA] stp root primary 
























































[SwitchD] stp root secondary 















































的 路 径 开 销 缺 省 值 ) ， 实 现 将 该 端口 阻塞 。 


也 














F ， 故 下 H 


(3) 配置 端口 的 路 径 开销 计算 方法 ， 同 时 将 SwitchC 上 的 GE0/0/1 端 口 的 开销 值 增 大 (大 于 对 应 类 型 端 























Sl 
































端口 路 径 开 销 值 取 值 范围 由 路 径 开 销 计算 方法 决定 ， 这 里 以 使 用 华为 私有 计算 方法 为 例 。 同 样 因 为 4 





















































台 交 换 机 上 的 路 径 开销 计算 方法 的 配置 方法 完全 一 样 ， 在 此 仅 以 SwitchA 上 的 配置 为 例 进 行 介绍 。 但 














络 内 所 有 交换 设备 的 端口 路 径 开销 应 使 用 相同 的 计算 方法 。 
[SwitchA] stp pathcost-standard legacy 


















































然后 增 大 SwitchC 上 的 GE0/0/1 端 口 的 开销 值 ， 此 处 为 20 000〔 千 兆 端 口 的 缺 省 值 为 2〉。 














[SwitchC] interfacegigabitethernet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] stp cost 20000 








(4) 把 连接 PC 上 的 端口 〈 如 SwitchB 的 GE0/0/2 端 口 和 SwitchC 的 GE0/0/2 端 口 ) 配置 为 边缘 端 














BPDU 过 滤 。 然 后 在 4 台 交 换 机 上 使 能 RSTP 功 能 ， 以 消除 二 层 环 路 。 
[SwitchB] interface gigabitethernet 0/0/2 
[SwitchB-GigabitEthernet0/0/2] stp edged-port enable 
[SwitchB-GigabitEthernet0/0/2] stp bpdu-filter enable 
[SwitchB-GigabitEthernet0/0/2] quit 
[SwitchC] interface gigabitethernet 0/0/2 
[SwitchC-GigabitEthernet0/0/2] stp edged-port enable 
[SwitchC-GigabitEthernet0/0/2] stp bpdu-filter enable 
[SwitchC-GigabitEthernet0/0/2] guit 

在 4 台 交换 机 上 全 局 使 能 STP。 同 样 因为 4 台 交 换 机 上 的 使 能 方法 的 配置 方法 完全 

SwitchA 上 的 配置 为 例 进行 介绍 。 

[SwitchA] stp enable 
































一 相 


同一 网 






































# ， 在 此 仅 以 









































(5) 在 SwitchA 上 配置 根 保护 功能 ， 即 在 Switch 的 两 个 指定 端口 上 局 用 根 保护 功能 ， 使 SwitchA 总 为 根 





























桥 。 
[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] stp root-protection 
[SwitchA-GigabitEthernet1/0/1] quit 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] stp root-protection 
[SwitchA-GigabitEthernet1/0/2] quit 
以 上 配置 完成 后 ， 过 段 时 间 ， 在 网 络 计算 稳定 后 执行 以 下 命令 ， 以 验证 配置 结果 。 
在 SwitchA 上 执行 display stp brief 命 令 查 看 端口 状态 和 端口 的 保护 类 型 ， 结 果 如 下 。 从 中 可 以 看 出 将 
SwitchA 配置 为 根 桥 后 ， 与 SwitchB、SwitchD 相连 的 端口 GigabitEthernet1/0/2 和 GigabitEthernet1/0/1 在 生 
成 树 计 算 中 被 选举 为 指定 端口 ， 并 在 指定 端口 上 配置 根 保 护 功能 ， 使 得 SwitchA 总 为 根 桥 。 
[SwitchA] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet1/0/1 DESI FORWARDING ROOT 
0 GigabitEthernet1/0/2 DESI FORWARDING ROOT 
可 在 SwitchB 上 执行 display stp interfacegigabitethernet 0/0/1 brief 命 令 查 看 端口 GigabitEthernet0/0/1 状态 
来 验证 ， 结 果 如 下 。 从 中 可 以 看 出 GE0/0/1 端口 在 生成 树 选举 中 已 成 为 指定 端口 ， 处 于 Forwarding 状 态 。 
[SwitchB] display stp interfacegigabitethernet0/0/1 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING NONE 
可 在 SwitchC 上 执行 display stp brief 命 令 查 看 端口 状态 ， 结 果 如 下 。 从 中 可 以 看 出 GE0/0/3 端 口 在 生成 树 
选举 中 成 为 根 端口 ， 处 于 Forwarding 状 态 ， 而 GE0/0/1 端 口 在 生成 树 选举 中 成 为 Alternate 端 口 ， 处 于 
Discarding 状 态 。 
[SwitchC] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 ALTE DISCARDING NONE 
0 GigabitEthernet0/0/3 ROOT FORWARDING NONE 
通过 以 上 查看 操作 就 可 以 验证 以 上 配置 是 正确 、 成 功 的 。 


























































































































































































































































































































8.5 MSTP 基 础 











通过 前 面 的 学 习 我 们 已 经 发 现 ， 无 论 是 STP， 还 是 RSTP， 它 们 都 是 针对 一 个 完整 的 交换 网 络 来 计算 单 
一 生成 树 的 《所 以 它们 都 为 单 生 成 树 ) 。 这 对 于 一 些小 型 网 络 是 有 效 的 ， 而 且 配 置 也 非常 简单 。 但 是 对 于 
一 些 规模 比较 大 ， 结 构 比 较 复杂 ， 将 测 是 多 VLAN 的 交换 网 络 来 说 ， 显 然 会 使 生成 树 的 计算 更 复杂 ， 甚 至 
无 法 最 终 形 成 一 棵 无 环 路 的 生成 树 。 这 时 就 得 用 到 本 节 将 要 介绍 的 MSTP (Multiple Spanning Tree Protocol， 
多 生成 树 协 议 ) 了 。 

说 明 

MSTP 与 RSTP 在 许多 方面 是 完全 一 样 的 ， 包 括 主要 的 5 种 端口 角色 、 三 种 端口 状态 、 三 种 收敛 机 制 、 三 
种 定时 器 ， 以 及 影响 拓扑 收敛 的 参数 配置 等 ， 主 要 区 别 就 在 于 MSTP 可 以 在 一 个 交换 网 络 中 划分 多 个 
































































































































MST (多 生成 树 ) 域 ， 在 一 个 MST 域 中 又 可 以 有 多 个 MSTI《〈 多 生成 树 实 例 ) 。 所 以 ， 











的 基本 配置 就 像 RSTP 一 样 简单 ， 不 同 的 只 是 与 多 MST、 多 MSTI 相 关 的 特性 了 。 


8.5.1 MSTP 产 生 的 背景 























通过 本 章 前 面 的 学 习 已 经 知道 ，RSTP 已 在 STP 基 
RSTP 和 STP 还 存在 同一 个 缺陷 : 由 于 局 域 网 内 所 有 日 




















流量 的 负载 均衡 ， 被 阻 
法 转发 。 

在 如 图 8-24 所 示 网 络 中 ， 如 果 在 
换 设备 。S2 和 S5 之 间 、 



































VLAN2， 
过 ， 因 此 HostA 和 HostB 之 间 无 法 互相 通信 。 











为 了 弥补 STP 和 RSTP 的 缺陷 ，IEEE 于 2002 年 发 布 的 802.1S 标 准 定义 了 MSTP。MSTP 兼 


的 元 余 链 路 将 不 承载 任何 流量 ， 


局 域 网 内 应 月 
Sl1 和 S4 之 间 的 链 路 被 阻 
VLAN 报 文通 过 外 ， 其 他 链 路 均 不 允 许 VYLAN2、VLAN3 的 报 文通 过 。 另 外 ，HostA 和 HostB 同 属于 
于 S1 和 S4 之 间 ， 以 及 S2 和 S5 之 间 的 链 路 被 阻塞 ，S3 和 S6 之 间 的 链 路 又 不 允许 VLAN2 的 报 文通 


础 上 进行 了 改进 ， 实 现 了 网 络 拓扑 的 快速 收敛 。 但 













































































月 STP 或 RSTP， 生 成 树 结构 在 医 














多 
































， 除 了 图 





中 标注 了 “VLAN2” 或 “VLAN3” 的 链 路 允许 对 应 





总 体 上 来 说 ，MSTP 


和 VLAN 共 享 一 棵 生成 树 ， 因 此 无 法 在 VLAN 间 实现 数据 
造成 带宽 浪费 ， 还 有 可 能 造成 部 分 VLAN 的 报 文 无 


中 用 虚线 表示 ，S6 为 根 交 


的 























容 STP 和 RSTP， 


既 可 以 快速 收敛 ， 又 能 使 不 同 VLAN 的 流量 沿 各 自 的 路 径 转发 ， 从 而 为 元 余 链 路 提供 了 更 好 的 负载 分 担 机 





制 。 


MSTP 通过 把 一 个 交换 网 络 划 分 成 多 个 域 ， 每 个 域内 六 


























棵 互 不 影响 的 生成 树 。 在 MSTP 中 ， 每 棵 生成 树 叫 做 一 个 多 生成 树 实 例 MSTI (Multiple Spanning Tree 
Instance) ， 每 个 域 叫做 一 个 MST 域 C(MST Region: Multiple Spanning Tree Region ) 。 


MSTP 把 一 个 生成 树 
立 。 
实例 中 ， 并 以 实例 为 基础 实现 负载 均衡 。 
说 明 























所 谓 实例 就 是 一 棵 生成 树 中 所 包含 的 交换 网 段 。 通 过 将 多 个 VLAN 
的 计算 相互 独立 ， 在 这 些 实例 上 可 以 实现 负载 均衡 。 可 以 把 多 个 相同 
上 的 转发 状态 取决 于 端口 在 对 应 MSTP 实 例 的 状 








和 资源 占用 率 。MSTP 各 个 实例 拓扑 








拓扑 结构 的 VLAN 映射 到 一 个 实例 里 ， 这 些 VLAN 在 端口 
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NNo 








同样 以 图 8-24 为 例 进行 介绍 ， 如 果 网 络 ! 














和 RSTP 在 本 示例 中 的 问题 了 。 在 这 里 可 以 生成 以 下 两 棵 9 
中 。 每 个 VLAN 只 能 对 应 一 个 MSTI， 即 同一 VLAN 的 数 所 





各 交换 机 都 运行 的 是 MSTP， 就 可 以 完全 解答 前 
E 成 树 ， 即 把 网 络 中 的 各 VL 
FE 一 个 MSTI 中 传输 ， 而 一 个 MSTI 可 能 对 应 多 








个 VLAN。 但 是 一 个 交换 机 可 以 位 于 多 个 MSTI 中 。 
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趾 vLAN3 





居 只 能 寿 


VLAN2 VLAN3 












































He | 













4 HostA 
'|VLAN3 VLAN2 :| wuAN2) 
VLAN2 VLAN3 
S5 
‘| VLAN2 VLAN2! HostD 
VLAN3 ， (VLAN3) 


部 | 
S6 


spanning tree(root bridge:S6) 


和 独 形成 一 棵 生成 树 ， 整 个 交换 网 络 就 可 形成 多 


网 络 划分 成 多 个 域 ， 每 个 域内 形成 多 棵 内 部 生成 树 ， 各 个 生成 树 实例 之 间 彼 此 独 
然后 ，MSTP 通 过 VLAN- 生 成 树 实例 映射 表 把 YLAN 和 生成 树 实例 联系 起 来 ， 将 多 个 VLAN 捆 绑 到 一 个 


用 绑 到 一 个 实例 ， 可 以 节省 通信 开销 


四 说 到 的 STP 
AN 划分 到 两 个 MSTI 








图 8-24 采 月 


有 STP/RSTP 协 议 时 的 单 生 成 树 





(1) MSTI1: 以 S4 为 根 桥 《〈 非 根 桥 包括 S5、S2、S3) ， 转 发 VLAN2 的 报 文 。 
(2) MSTI2: 以 56 为 根 桥 《〈 非 根 桥 包括 S3、S2、S1) ， 转 发 VLAN3 的 报 文 。 




















S1 与 S4 之 间 的 链 路 仍 是 阻 
时 不 同 VLAN 的 报 文 沿 不 同 的 路 径 转 发 ， 实 I 














的 ， 新 增 了 S5 与 56 之 间 的 链 路 阻塞 。 这 样 所 有 VLAN 内 部 可 以 互通 ， 同 























砚 了 负载 分 担 ， 如 图 8-25 中 的 S3 一 S6 链 路 负责 VLAN3 报 文 的 





转发 ， 而 $2 一 S5 链 路 负责 VLAN2 报 文 的 转发 。 
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图 8-25 采用 MSTP 协 议 后 的 两 棵 生成 树 





8.5.2 MSTP 基 本 概念 





因为 在 MSTP 网 络 中 可 以 有 多 棵 生成 树 实 例 ， 就 涉及 至 











ls 
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E 成 树 实例 的 划分 及 各 生成 树 实例 之 间 的 关系 等 





























问题 ， 所 以 与 单 生 成 树 的 STP 和 RSTP 在 许多 方面 存在 不 同 。 本 节 具 体 介绍 MSTP 所 涉及 的 一 些 基本 概念 。 
1. MSTP 网 络 的 层次 结构 


MSTP 不 仅 涉及 多 个 MSTI (和 


成 树 实 例 ) ， 而 











日 还 可 划分 多 个 MST 域 C(MST Region， 也 称 为 MST 区 











域 ) 。 总 的 来 说 ， 一 个 MSTP 网 络 可 以 包含 一 个 或 多 个 MST 域 ， 而 每 个 MST 域 中 又 可 包含 一 个 或 多 个 





MSTI。 组 成 每 个 MSTI 的 是 其 中 运行 STP/R 
成 的 树 状 网 络 。 


如 图 





“\、MSTI2 
~~MST Region .- 
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8-26 所 示 的 MSTP 网 络 中 划分 了 3 个 MST 区 域 ， 每 个 


MSTIO ,,” 


> 
- 


STP/MSTP 的 交换 设备 ， 是 这 些 交 换 设 备 经 MSTP 协 议 计 算 后 形 


区 域 中 又 包括 了 3 个 MSTI。 





MSTIO ,” 


mm 本 


MSTI2 





MSTIO ， 


SEE 


2. MST 域 

MST 域 (Multiple Spanning Tree Region， 多 生成 树 域 ) ， 

网 段 所 构成 。 同 一 个 MST 域 的 设备 
(1) 都 启动 了 MSTP。 











(2) 








有 相同 


的 域名 。 











(3) 








有 相同 














(4) 











名 人 




















有 相同 














MSTI2 。 


3. MSTI 
MSTI (Multiple Spanning Tree Instance， 多 生成 树 实例 ) 是 指 MST 域 内 的 生成 树 。 
过 MSTP 生 成 多 棵 生成 树 ， 各 棵 生成 树 之 间 彼 此 独立 。 
与 一 个 MSTI 对 应 。 








VLAN 只 能 


既然 是 生成 树 ， 导 


了 3 个 MSTI ( 





多 














的 MSTP 修 订 
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SwitchB 


























就 不 允许 存在 环 路 。 仍 以 























看 一 下 
VLAN 30。 这 


名 























图 所 示 ， 





也 存在 环 路 。 


8-28 所 示 的 示例 。 























这 时 只 好 为 每 个 VLAN 自 





SwitchD 





有 下 列 特点 。 


的 VLAN 到 生成 树 实例 映射 配置 。 
级 别 配置 。 

一 个 MSTP 网 络 可 以 存在 多 个 MST 域 ， 各 MST 域 之 间 在 物理 上 直接 或 间接 相连 
命令 把 多 台 交 换 设 备 划 分 在 同一 个 MST 域 内 。 
图 8-27 所 示 的 MST 域 D0' 




















8-26 MSTP 网 络 示例 

















交换 网 络 ! 






































Master Bridge Cc 







5 
SwitchC 


图 8-27 MST 域 示例 


图 8-27 所 示 的 MSTP 网 络 为 例 进行 








在 这 个 MST 域 的 交换 网 络 ! 
时 又 该 划分 成 多 少 个 MSTI 呢 ?如果 我 们 把 VLAN 10 和 VLAN 20 放 进 
的 拓扑 如 图 8-29 的 左 图 所 示 ， 明 显存 在 环 路 ， 如 果 把 VLAN 10 和 VLAN 30 放 进 一 个 MSTI 中 ， 得 到 如 医 
所 示 的 拓扑 ， 人 路 ;同样 如 果 把 VYLAN 20 和 VLAN 30 划 分 到 一 个 MSTI' 


























独 划分 成 一 个 MSTI， 得 到 的 每 个 MSTI 拓 扑 如 





















































的 多 台 交 换 设备 以 及 它们 之 间 的 


] 户 可 以 通过 MSTP 配 


是 由 交换 机 S1、S2、S3 和 S4 构 成 ， 域 中 有 3 个 MSTI， 即 MSTI0、MSTI1 和 


一 个 MST 域 内 可 以 通 
一 个 MSTI 可 以 与 一 个 或 者 多 个 VLAN 对 应 ， 但 一 个 


介绍 ， 这 个 MST 域 中 包括 
中 的 MSTI0、MSTI1、MSTI2， 注 意 看 它们 的 拓扑 ， 总 有 一 个 方向 的 交换 机 连接 是 断 开 
的 ) ， 每 个 MSTI 都 没有 环 路 。 





个 MSTI! 








， 则 拓扑 如 





包括 了 3 个 VLAN: VLAN 10、VLAN 20 和 


， 则 所 得 到 
图 8-29 
图 8-29 的 右 
图 8-30 所 示 
























































的 3 个 MSTI， 就 不 存在 环 路 了 注意， 虚线 所 代表 的 是 通过 MSTP 协 议 配 置 阻塞 的 链 路 ) ， 确 保 每 个 MSTI 
中 没有 环 路 出 现 。 
在 一 般 的 企业 网 络 中 ， 通 常 是 将 支持 MSTP 的 设备 全 部 划分 到 一 个 MST 域 中 ， 而 将 不 支持 MSTP 的 设备 
划分 到 另 一 个 MST 域 中 。 对 于 MSTI 来 说 ， 通 常 是 将 具有 相同 转发 路 径 的 VLAN 了 映射 到 一 个 MSTI 中 ， 以 形成 
一 棵 独立 的 生成 树 。 
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图 8-28 MSTI 划 分 示例 


坟 六 交 


VLAN 10&20 放 进 一 个 MSTI VLAN 10&30 放 进 一 个 MSTI VLAN 10&30 放 进 一 个 MSTI 


图 8-29 每 个 MSTI 放 进 两 个 VLAN 情 况 下 的 生成 树 拓扑 





R 
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ne MSTI links blocked by the protocol 


图 8-30 每 个 MSTI 对 应 一 个 VLAN 的 生成 树 拓扑 


4. VLAN 映 射 表 


VLAN 映 射 表 是 MST 域 的 属性 ， 描 述 了 VLAN 和 MST 域 中 对 应 MSTI 之 间 的 映射 关系 。 也 就 是 把 那些 
VLAN 分 别 加 入 哪个 MSTI 中 。 一 个 VLAN 只 能 加 入 一 个 MSTI 中 ， 即 同一 VLAN 的 数据 只 能 在 一 个 MSTI 中 
传输 ， 而 一 个 MSTI 可 能 对 应 多 个 VLAN。 但 是 一 台 交 换 机 可 以 位 于 多 个 MSTI 中 ， 毕 竟 一 台 交 换 机 上 可 以 划 
分 多 个 VLAN。 

如 图 8-27 所 示 的 MSTP 网 络 ，MST 域 D0 中 所 包括 的 VLAN 映 射 表 如 下 。 

(1) VLAN1 了 映射 到 MSTI1。 
(2) VLAN2 和 VLAN3 了 映射 到 MSTI2。 
(3) 其 余 VLAN 了 映射 到 MSTIO。 

5. IST 

IST (Internal Spanning Tree， 内 部 生成 树 ) 是 各 个 MST 域 内 部 的 一 棵 生成 树 ， 是 仅 针对 有 具体 的 MST 域 
来 计算 的 。 但 它 是 一 个 特殊 的 MSTI， 其 MSTI ID 为 0， 即 IST 通常 称 为 MSTI0。 每 个 MST 域 中 只 有 一 个 IST 
， 包 括 对 应 MST 域 中 所 有 互联 的 交换 机 。 

在 如 图 8-31 所 示 的 MSTP 网 络 中 (包括 了 多 个 MST 域 每 个 MST 域 内 部 用 细 线 连接 的 各 交换 机 就 构成 了 
对 应 MST 域 中 的 IST。 

6. CST 

CST 《Common Spanning Tree， 公 共生 成 树 ) 是 连接 整个 MSTP 网 络 内 所 有 MST 域 的 一 棵 单 生 成 树 ， 是 
针对 整个 MSTP 网 络 来 计算 的 。 如 果 把 每 个 MST 域 看 作 是 一 台 “ 交 换 机 ”， 每 个 MST 域 看 成 CST 的 一 个 节 
点 ， 则 CST 就 是 这 些 节点 “交换 机 ”通过 STP 或 者 RSTP 协 议 计 算 生 成 的 一 棵 生成 树 〈SST) 。 即 每 个 MSTP 网 
络 中 只 有 一 个 CST 。 每 个 MST 域 中 的 IST 是 整个 MSTP 网 络 CIST 在 对 应 MST 域 中 的 一 个 片段 。 

在 图 8-31 中 用 于 连接 各 个 MST 域 的 粗 线条 连接 就 构成 了 CST。 

7. CIST 

CIST (Common and Internal Spanning Tree， 公 共和 内 部 生成 树 ) 是 通过 STP 或 RSTP 协 议 计算 生成 的 ， 
连接 整个 MSTP 网 络 内 所 有 交换 机 的 单 生 成 树 ， 由 IST 和 CST 共同 构成 。 这 里 要 注意 了 ， 上 面 介绍 的 CST 
是 连接 交换 网 络 中 所 有 MST 域 的 单 生成 树 ， 而 此 处 的 CIST 则 是 连接 交换 网 络 内 的 所 有 交换 机 的 单 生 成 
树 。 即 每 个 MSTP 网 络 中 也 只 有 一 个 CIST 。 交 换 网 络 中 的 所 有 MST 域 的 IST 和 CST 一 起 构成 一 棵 完整 的 
生成 树 ， 也 就 是 这 里 的 CIST。 
在 图 8-31 中 ，A0、B0、C0、D0 四 个 MST 区 域 中 的 IST， 再 加 上 MST 域 间 的 CST 就 是 整个 交换 网 络 的 
CIST 了 。 


































































































































































































































































































































































































































































































图 8-31 多 MST 域 的 MSTP 网 络 示 例 


8. SST 
构成 SST (Single Spanning Tree， 单 生成 树 ) 有 两 种 情况 。 
(1) 运行 STP 或 RSTP 生 成 树 协议 的 交换 机 只 属于 一 个 生成 树 。 
(2) MST 域 中 只 有 一 个 交换 机 ， 这 个 交换 机 构成 单 生成 树 。 
在 图 8-31 中 ，B0 域 中 的 交换 机 就 是 一 棵 单 生 成 树 ， 因 为 此 域 中 只 有 一 台 交 换 机 。 
9. 总 根 
总 根 是 CIST 生 成 树 的 根 桥 ， 通 常 是 交换 网 络 中 最 上 层 的 交换 机 。 图 8-31 中 总 根 是 在 A0 域 中 IST 生成 树 的 
根 桥 。 一 个 MSTP 网 络 只 有 一 个 总 根 。 
10. 域 根 
因为 在 MSTP 网 络 中 ， 每 MST 域 都 有 一 个 特殊 的 IST 实例 ， 以 及 许多 MSTI 实 例 ， 所 以 域 根 (Regional 
Root) 又 分 为 IST 域 根 和 MSTI 域 根 。 
各 个 MST 域 中 的 IST 生成 树 中 距离 CIST 总 根 最 近 的 交换 机 是 IST 域 根 。 总 根 所 在 MST 域 的 IST 域 根 就 是 
总 根 。 在 图 8-31 的 示例 中 ， 也 已 标 出 了 非 总 根 所 在 的 B0、C0 和 D0 三 个 MST 域 的 IST 域 根 。 
MSTI 的 域 根 是 对 应 生成 树 实例 的 树 根 ， 域 中 不 同 的 MSTI 有 各 自 的 域 根 。 而 且 ，MST 域 内 各 棵 生成 
树 的 拓扑 不 同 ， 域 根 也 可 能 不 同 。 

















































































































8.5.3 MSTP 的 端口 角色 


























MSTP 中 的 端口 角色 主要 有 根 端口 (root port) 、 指 定 端口 (designated port) 、 蔡 代 端 口 (alternate 
port) 、 备 份 端口 backup port) 、 主 端口 (master port) 、 域 边缘 端口 和 边缘 端口 。 其 中 ， 根 端口 、 指 定 
端口 、Alternate 端 口 、Backup 端 口 和 边缘 端口 这 五 种 主要 端口 角色 的 作用 与 RSTP 协 议 中 对 应 的 端口 角色 定 
义 完 全 相同 。 

与 RSTP 一 样 ， 在 MSTP 中 也 是 除 边缘 端口 外 ， 其 他 端口 角色 都 参与 MSTP 的 计算 过 程 。 而 且 ， 同 一 端口 
在 不 同 的 生成 树 实例 中 可 以 担任 不 同 的 角色 。 为 了 便于 说 明 ， 下 面 给 出 一 个 典型 的 MSTP 端 口 示 例 ， 如 图 8- 
32 所 示 。 


























































































































图 8-32 MSTP 端 口 示例 














1. 根 端口 
























































没有 根 端口 ， 只 有 下 面 将 要 介绍 指定 端口 。 



























































2. 指定 站 





根 端口 仅 针对 非 根 桥 而 言 ， 非 根 桥 上 到 根 桥 距离 开销 最 小 的 端 
离开 销 相 同 的 情况 下 ， 离 根 桥 最 近 的 端口 是 本 交换 机 的 根 端口 。 根 端口 负责 向 树 根 方向 转发 数据 。 根 桥 上 


在 图 8-32 中 ，S1 为 根 桥 ，CP1 为 S3 的 根 端口 ，BP1 为 S2 的 根 端口 ，DP1 为 S4 的 根 端口 。 


口 根 端口 

© 指定 端口 
X 替代 端口 
四 备份 端口 
全 域 边缘 端口 
可 主 端 口 
图 边缘 端口 


口 就 是 本 交换 机 的 根 端口 。 在 到 根 桥 距 























对 一 人 台 交 换 机 而 言 ， 它 的 指定 端口 是 向 下 游 交 换 机 转发 BPDU 报 文 的 端口 。 交 换 机 连接 下 级 交换 机 的 所 





有 端口 都 是 指定 端口 ， 不 仅 根 桥 上 有 ， 非 根 桥 上 同样 有 。 





























边缘 端 



































沾 
用 户 终 端 设备 〈 如 PC 机 ) 直接 连接 。 
在 图 8-32 中 ，BP3 为 边缘 端 
4. Alternate 端 口 





















































从 发 送 BPDU 来 看 ，Alternate 端 口 就 是 由 于 学 习 到 其 他 交换 机 发 送 的 BPDU 而 被 阻塞 的 端口 。 从 转发 用 
户 流 量 来 看 ，Alternate 端 口 提供 了 从 指定 桥 到 根 桥 的 一 条 备份 路 径 ， 所 以 Alternate 端 口 是 根 端口 的 备份 端 






































口 ， 如 果 根 端口 被 阻塞 后 ，Alternate 端 口 将 成 为 新 的 根 端 
在 图 8-32 中 ，DP4 和 AP4 为 Alternate 端 口 。 
5 






































Backup 端 











在 图 8-32 中 ，AP2 和 AP3 和 BP2 分 别 为 S1 和 S2 的 指定 端口 ，CP2 为 $3 的 指定 端口 。 








指定 端口 位 于 整个 域 的 边缘 ， 不 再 与 任何 交换 机 连接 ， 这 种 端口 叫做 边缘 端口 。 边 缘 端 口 一 般 与 



























































当 同 一 台 交 换 机 的 两 个 端口 同时 连接 一 个 设备 时 就 存在 一 个 环 路 ， 此 时 交换 机 会 将 其 中 一 个 端口 阻 








塞 ， 这 个 端口 就 是 Backup 端 口 。 



































从 发 送 BPDU 来 看 ，Backup 端口 就 是 由 于 学 习 到 本 设备 上 其 他 端口 发 送 的 BPDU 而 被 阻塞 的 端口 。 从 





转发 用 户 流量 来 看 ，Backup 端 
























































6. Master 端 口 











作为 指定 端口 的 备份 ， 提 供 了 一 条 从 根 桥 到 下 级 设备 的 备份 通路 。 
在 图 8-32 中 ，CP3 为 Backup 端 口 ， 因 为 它 与 CP2 端 口 同时 连接 到 下 游 的 同一 个 设备 。 








Master 端口 是 MST 域 和 总 根 相 连 的 所 有 路 径 中 最 短路 径 上 的 端口 ， 它 是 交换 机 上 连接 MST 域 到 总 根 


的 端口 。Master 端 口 是 域 中 的 报 文 去 往 总 根 的 必 经 之 路 。Master 端口 是 特殊 域 边 缘 端 口 ，Master 端 口 在 














CST/CIST 上 的 角色 是 根 端口 ， 在 其 他 各 实例 上 的 角色 都 是 Master。 












































在 图 8-32 中 ， 交 换 设 备 S1、S2、S3、S4 和 它们 之 间 的 链 路 构成 一 个 MST 域 ，S1 交 换 设备 的 端口 AP1 在 
域内 的 所 有 端口 中 到 总 根 的 路 径 开 销 最 小 ， 所 以 AP1 为 Master 端 口 。 

7. 域 边缘 端口 

域 边缘 端口 是 指 位 于 MST 域 的 边缘 并 连接 其 他 MST 域 或 SST 的 端口 。 进 行 MSTP 计 算 时 ， 域 边缘 端口 在 
MSTI 上 的 角色 和 CIST 实例 的 角色 保持 一 致 。 即 如 果 边 缘 端 口 在 CIST 实例 上 的 角色 是 Master 端口 (连接 
域 到 总 根 的 端口 ) ， 则 它 在 域内 所 有 MSTI 上 的 角色 也 是 Master 端 口 。 
在 图 8-32 中 ，AP1 是 域 边缘 端口 ， 它 在 CIST 上 的 角色 是 Master 端 口 ， 则 AP1 在 MST 域 内 所 有 生成 树 实例 
上 的 角色 都 是 Master 端 口 。 
















































































































































































8.5.4 MSTP 的 端口 状态 与 收敛 机 制 























MSTP 定 义 的 端口 状态 也 与 RSTP 协 议 中 的 定义 完全 相同 ， 也 是 根据 端口 是 否 转发 用 户 流量 、 接 收 /发 送 
BPDU 报 文 ， 把 端口 状态 划分 为 3 种 。 
(1) Forwarding 状 态 : 转发 状态 ， 既 转发 用 户 流量 又 接收 /发 送 BPDU 报 文 。 
(2) Learning 状 态 : 学 习 状 态 ， 不 转发 用 户 流 量 ， 只 接收 /发 送 BPDU 报 文 。 
(3) Discarding 状 态 : 丢弃 状态 ， 只 接收 BPDU 报 文 ， 不 转发 报 文 。 
与 RSTP 中 的 端口 状态 一 样 ，MSTP 的 端口 状态 和 端口 角色 是 没有 必然 联系 的 ， 表 8-11 给 出 了 各 种 端 
角色 能 够 具有 的 端口 状态 。 























































































































表 8-11 MSTP 各 种 端口 角色 具有 的 端口 状态 























Forwarding y y y 一 一 
Learning | y y y 一 一 
Discarding | y y y y y 





说 明 
MSTP 的 收敛 机 制 与 RSTP 是 完全 一 样 的 ， 有 具体 参见 本 章 8.3.4 和 8.3.5 节 。 在 P/A 机 和 溃 
模式 和 增强 模式 两 种 ， 有 具体 参见 本 章 8.4.7 节 。 

















摆 同 样 支持 普通 
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8.5.5 MSTP 拓 扑 计 算 原 理 





MSTP 将 整个 二 层 网 络 划 分 为 多 个 MST 域 ， 把 每 个 域 视 为 一 个 节点 。 各 个 MST 域 之 间 按 照 STP 或 者 
RSTP 协 议 算法 进行 计算 并 生成 CST (是 单 生 成 树 ) ; 在 一 个 MST 域 内 则 是 通过 MSTP 协 议 算法 计算 生成 
若干 个 MSTI (是 多 生成 树 ) ， 其 中 实例 0 被 称 为 I ST。MSTP 使 用 MST BPDU (Multiple Spanning Tree 
Bridge Protocol Data Unit， 多 生成 树 桥 协议 数据 单元 ) 作为 生成 树 计算 的 依据 。MST BPDU 报 文 用 来 计算 生 
成 树 的 拓扑 、 维 护 网 络 拓扑 以 及 传达 拓扑 变化 记录 。 

1. MSTP 向 量 优先 级 

MSTI 和 CIST 拓扑 都 是 根据 优先 级 向 量 来 计算 的 ， 这 些 优先 级 向 量 信息 都 包含 在 MST BPDU 中 。 各 交 
换 机 互相 交换 MST BPDU 来 生成 MSTI 和 CIST，。 

参与 CIST 计 算 的 优先 级 向 量 按 优先 级 别 从 高 到 低 依次 是 根 桥 ID、 外 部 路 径 开 销 、 域 根 ID、 内 部 路 径 开 
销 、 指 定 桥 ID、 指 定 端口 ID、 接 收 端口 IDD， 参与 MSTI 计 算 的 优先 级 向 量 按 优 先 级 别 从 高 到 低 依次 是 域 根 
ID、 内 部 路 径 开 销 、 指 定 桥 ID、 指 定 端口 IDD、 接收 端口 ID 。 

以 上 这 些 优先 级 向 量 说 明 如 表 8-12 所 示 。 



























































































































































表 8-12 优 9 








E 级 向 量 说 明 





优先 级 向 量 名 


说 明 





根 桥 ID 


根 桥 ID 用 于 选择 CIST 中 的 根 桥 。 在 BPDU 中 对 应 的 网 桥 ID， 计 算 公式 为 : 
Priority(16bits)+MAC(48bits) 





外 部 路 径 开销 
(ERPC) 


从 MST 域 根 到 达 总 根 的 路 径 开销 。MST 域内 所 有 交换 机 上 保存 的 外 部 路 径 开销 
相同 。 若 CIST 根 桥 在 域 中 ， 则 域内 所 有 交换 机 上 保存 的 外 部 路 径 开销 为 0 





域 根 ID 


也 就 是 通常 所 说 的 MSTI 树 根 ， 域 根 ID 用 于 选择 MSTI 中 的 树 根 。 它 也 是 通过 网 


桥 ID 来 选举 的 ,证 


- 算 公式 为 : Priority(16bits)+MAC(48bits) 





内 部 路 径 开销 
(IRPC) 


本 交换 机 到 达 域 根 桥 的 路 径 开销 。 域 边缘 端口 保存 芯 


级 越 低 ) 非 域 边缘 端口 保存 的 内 部 路 径 开销 


内 部 路 径 开 销 值 大 于 优先 





指定 桥 


CIST 或 MSTI 实例 
交换 机 就 是 总 根 或 


的 指定 桥 是 本 交换 机 通 往 域 根 的 旧 
域 根 ， 则 指定 桥 为 自己 


邻近 的 上 游 交 换 机 。 如 果 本 





指定 端口 


指定 桥 上 与 本 交换 机 根 端口 相连 的 端口 就 是 指定 端口 。 
] 号 (8 位 )。 端 口 优先 级 必须 是 16 


Priority(8 位 )+ 端 [ 


其 端口 ID (Port ID) = 
的 整数 倍 





接收 端口 








接收 到 BPDU 报 文 


端口 优先 级 必须 是 16 的 整数 倍 


端口 。 其 端口 ID (PortID) =P 


riority(8 位 ) + 端口 号 (8 位 )。 




















同一 类 向 量 比较 时 ， 值 最 小 的 向 量 





(1) 首先 ， 比 较 根 桥 ID。 














(2) 如 果 根 桥 ID 相 同 ， 再 比较 外 间 
(3) 如 果 外 部 路 径 开 销 还 相同 ， 昨 





















































(4) 如 果 域 根 ID 仍然 相同 ， 











(5) 如 果 内 部 路 径 仍然 相同 ， 再 上 
(6) 如 果 指 定 桥 ID 仍然 相同 ， 再 上 


























有 最 高 优先 级 。 





了 路径 开销 

和 比较 域 根 ID。 
比较 内 部 路 径 开 销 。 
E 较 指定 桥 ID。 






































\ 体 比较 规则 如 下 。 


























(7) 如果 指定 端 






































被 新 收 到 的 配置 消息 
2. CIST 的 计算 


























ID 还 相同 ， 再 比较 接收 端口 
如 果 端 口 接收 到 的 BPDU 内 包含 的 配置 消息 优 于 端口 上 保存 的 配置 消息 ， 则 端口 上 原来 保存 的 配置 消息 
发 。 端 口 同时 更 新 交换 机 保存 的 全 局 配置 消息 。 








上 较 指 定 端口 ID。 


ID 。 















































反之 ， 新 收 到 的 BPDU 被 丢弃 。 

















经 过 配置 消息 比较 后 ， 首 先 在 整个 网 络 - 
MST 域 内 通过 MSTP 协 议 算法 计算 4 




















RSTP 协 议 算法 在 MST 域 间 计 算 和 9 























选择 一 个 优先 级 最 高 的 交换 机 作为 CIST 的 树 根 ， 然 后 在 每 个 
成 IST; 同时 MSTP 将 每 个 MST 域 作为 单 台 交 换 机 对 待 ， 通 过 STP 或 者 








3. MSTI 的 计算 





| 
r 




















MSTI 具 有 以 下 的 特点 。 
(1) 


(2) 








在 MST 域 内 ，MSTP 根 据 VLAN 和 时 


每 个 MSTI 独 立 计算 自己 的 生成 树 ， 互 不 3 
每 个 MSTI 的 生成 树 计 算 方 法 与 RSTP 基 本 相同 。 











成 CST。CST 和 IST 构成 了 整个 交换 机 网 络 的 CIST。 
成 树 实 例 的 映射 关系 ， 针 对 不 同 的 VLAN 生 成 不 同 的 生成 树 实例 。 


F 扰 。 





(3) 
(4) 
(5) 
(6) 
(7) 
4. MSTI 生 成 树 算法 实现 






































在 一 开始 时 ， 每 台 交 换 机 的 各 个 端口 会 生成 以 


每 个 MSTI 的 生成 树 可 以 有 不 同 的 根 ， 不 同 的 拓扑 。 
每 个 MSTI 在 自己 的 生成 树 内 发 送 BPDU。 
每 个 MSTI 的 拓扑 通过 命令 配置 决定 〈 不 是 自动 生成 的 ) 。 
每 个 端口 在 不 同 MSTI 上 的 生成 树 参数 可 
每 个 端口 在 不 同 MSTI 上 的 角色 、 状 态 可 


| 以 不 同 。 
] 以 不 同 。 





身 交 换 机 为 根 桥 的 配置 消息 ， 其 中 根 路 径 开 销 为 0， 指 





定 桥 ID 为 自身 交换 机 ID， 
配置 消息 后 进行 如 下 处 理 。 
(1) 当 端 












































引 定 端口 


为 本 站 

















收 到 比 自身 的 配置 消息 优先 级 低 “优先 级 的 比较 就 是 根据 前 本 














。 每 台 交 换 机 都 向 外 发 送 自己 的 配置 消息 ， 并 在 接收 到 其 他 











I 介绍 的 向 量 优先 级 比较 规则 























根 桥 ， 或 者 MST 域 根 桥 。 





进行 的 ) 的 配置 消息 时 ， 


























交换 机 把 接收 到 的 配置 消息 丢弃 ， 对 该 端口 的 配置 消息 不 作 任 何 处 理 。 


























《2) 当 端 口 收 到 比 本 端口 配置 消息 优先 级 高 的 配置 消息 时 ， 交 换 机 把 接收 到 的 配置 消息 中 的 内 容 蔡 换 
该 端口 的 配置 消息 中 的 内 容 ， 然 后 交换 机 将 该 端口 的 配置 消息 和 交换 机 上 的 其 他 端口 的 配置 消息 进行 比 
较 ， 选 出 最 优 的 配置 消息 。 
计算 生成 树 的 步 又 如 下 。 
(1) 选举 根 桥 。 此 步 是 通过 比较 所 有 交换 机 发 送 的 配置 消息 的 树 根 ID， 树 根 ID 值 最 小 的 交换 机 为 CIST 




















































































































(2) 选举 非 根 桥 上 的 根 端口 。 每 台 非 根 桥 把 接收 到 最 优 配置 消息 的 那个 端口 定 为 自 身 交 换 机 的 根 端 






































(3) 选举 指定 端 
首先 ， 交 换 机 根 志 











消息 : 


加 上 根 端 口 的 路 径 开 人 





换 机 就 将 该 端口 





























居 根 端口 的 配置 消息 和 根 端口 的 路 径 开 销 ， 为 每 个 端口 计算 一 个 标准 的 指定 端口 配置 
用 树 根 思 蔡 换 为 根 端口 配置 消息 











。 在 这 一 步 又 分 为 以 下 两 个 子 步 又: 































































































的 树 根 ID;， 用 根 路 径 开 销 蔡 换 为 根 端口 配置 消息 中 的 根 路 径 开 销 






































肖 ; 用 指定 桥 ID 蔡 换 为 自身 交换 机 的 ID; 用 指定 端口 ID 蔡 换 为 自身 端口 ID。 














然后 ， 交 换 机 对 以 上 规则 计算 出 来 的 配置 消息 和 对 应 端口 上 原来 的 配置 消息 进行 比较 。 如 果 端 口上 原 
来 的 配置 消息 更 优 ， 则 交换 机 将 此 端口 阻塞 ， 端 口 的 配置 消息 不 变 ， 并 且 此 端口 将 不 再 转发 数据 ， 只 接收 



































向 外 发 送 。 
(4) 在 MSTI 生 成 树 拓扑 收敛 后 ， 无 论 非 根 桥 是 否 接收 到 根 桥 传 来 的 信息 都 按照 Hello 定 时 器 周期 性 发 


送 BPDU。 如 果 































































































配置 消息 〈 相 当 于 根 端口 ) ;如 果 通 过 以 上 蔡 换 计算 出 来 的 配置 消息 比 端口 上 原来 的 配置 消息 更 优 ， 则 交 
设置 为 指定 端口 ， 端 口上 的 配置 消息 替换 成 通过 以 上 替换 计算 出 来 的 配置 消息 ， 并 周期 性 

























































































个 端口 连续 3 个 Hello 时 间 《〈 这 个 是 缺 省 的 设置 ) 接收 不 到 指定 桥 ( 也 就 是 它 所 连接 的 上 一 


级 交换 机 〉 送 来 的 BPDU， 那 么 该 交换 机 认为 与 此 邻居 之 间 的 链 路 失败 。 


倍 ) 


8.5.6 MSTP BPDU 报 文 


5. MSTP 对 拓扑 变化 的 处 理 
在 MSTP 中 检测 拓扑 是 否 发 生 了 变化 的 标准 是 根据 一 个 非 边 缘 端 口 的 状态 是 否 迁 移 到 Forwarding 状 态 ， 
如 果 是 迁移 到 了 Forwarding 状 态 ， 则 会 发 生 拓扑 变化 。 
交换 机 一 旦 检测 到 拓扑 发 生变 化 ， 进 行 如 下 处 理 。 



























































































































































(1) 为 本 交换 机 的 所 有 非 边 缘 指定 端口 启动 一 个 TC While Timer 〈 该 计时 器 值 是 Hello Time 的 两 
， 并 在 这 个 时 间 内 ， 清 空 这 些 端口 上 学 来 的 MAC 地 址 。 如 果 是 根 端口 上 有 状态 变化 ， 则 启动 根 端 

(2) 发 生 状 态 变 化 的 这 些 端口 向 外 发 送 TC BPDU， 其 中 的 TC 置 位 ， 直 到 TC While Timer 超 时 。 根 端 口 
要 发 送 这 种 TC BPDU。 
其 他 交换 机 接收 到 TC BPDU， 进 行 如 下 处 理 。 





(1) 清空 所 有 端 








口 学 来 的 MAC 地 址 ， 收 到 TC BPDU 的 端口 除外 。 

















(2) 为 所 有 自己 的 非 边 缘 指 定 端 





MSTP 使 



































i 口 和 自己 的 根 端口 启动 TC While 计时 器 ， 重 复 上 述 过 程 。 





jdMST BPDU (Multiple Spanning Tree Bridge Protocol Data Unit， 多 生成 树 桥 协议 数据 单元 ) 























作为 生成 树 计算 的 依据 。MST BPDU 报 文 用 来 计算 生成 树 的 拓扑 、 维 护 网 络 拓扑 以 及 传达 拓扑 变化 记录 。 
STP 中 定义 的 配置 BPDU、RSTP 中 定义 的 RST BPDU、MSTP 中 定义 的 MST BPDU 及 TCN BPDU 在 版 本 
号 和 类 型 值 方面 的 比较 如 表 8-13 所 示 。 















































表 8-13 4 种 BPDU 的 比较 





配置 FT 
RSTBPDU 


MST BPDU 
TCN BPDU 


1. MSTP BPDU 报 文 格式 

MST BPDU 报 文 结构 如 图 8-33 所 示 。 无 论 是 域内 的 MST BPDU 还 是 域 间 的 MST BPDU， 前 36 个 字 节 和 
RST BPDU 相 同 。 从 第 37 个 字 节 开始 是 MSTP 专 有 字段 。 最 后 的 MSTI 配 置信 息 字段 由 若干 MSTI 配 置信 息 组 
连 绥 而 成 。 各 字段 说 明 如 表 8-14 所 示 。 其 实 这 里 的 CIST 相 当 于 RSTP 中 的 单 生 成 树 。 


Octet 
1-2 


% 



































37-38 
39-89 
MST 90-93 
special 
94- 
fields i 
102 


103-39+Version 3 Length 


图 8-33 MST BPDU 格 式 


表 8-14 MST BPDU 格 式 字 段 说 明 


字段 内 容 字 节 数 说 明 
Protocol Identifier 协议 标识 符 ， 目 前 总 为 0 


Protocol Version Identifier 协议 版 本 标识 符 ，STP 为 0，RSTP 为 2，MSTP 为 3 
BPDU 类 型 ; 

。 0x00: STP 的 Configuration BPDU 

。 0x80: STP 的 TCN BPDU 








BPDU Type 


。 0x02: RST BPDU 或 者 MST BPDU 
CIST Flags | ”1 ”| CIsT 标志 字段 ， 与 RSTP 中 的 标志 字段 完全 一 样 
CIST Root Identifier | ”8 ”| CIST 的 总 根 桥 ID 


CIST 外 部 路 径 开 销 , 指 从 本 桥 所 属 的 MST 域 到 CIST 根 桥 所 属 
CIST External Path Cost 的 MST 域 的 累计 路 径 开 销 ， 类 似 于 RSTP 中 的 根 路 径 开 销 ， 也 
是 根据 链 路 带宽 计算 的 


CIST Regional CIST 的 域 根 桥 ID， 即 IST Master 的 ID。 如 果 总 根 在 这 个 域内 ， 
Root Identifier 那么 该 域 的 根 桥 ID 就 是 总 根 桥 ID 








CIST Port Identifier 


发 送 BPDU 报 文 的 端口 在 IST 中 的 指定 端口 ID 





Message Age 


MST BPDU 报 文 的 生存 期 





Max Age 


MST BPDU 报 文 的 最 大 生存 期 ， 超 时 则 认为 到 根 交 换 设备 的 链 
路 故障 





Hello Time 


Hello 定时 器 ， 缺 省 为 2s 





Forward Delay 


Forward Delay 定时 器 ， 缺 省 为 15s 





Version 1 Length 
Version 3 Length 


Version1 BPDU 的 长 度 ， 值 固定 为 0 


Version3 BPDU 的 长 度 





MST Configuration 
Identifier 


CIST Internal 
Root Path Cost 


CIST Bridge Identifier 


MST 配置 标识 符 ， 表 示 MST 域 的 标签 信息 ， 包 含 4 个 字段 ， 


如 图 8-34 所 示 。 只 有 这 里 面 的 4 个 字段 完全 相同 的 ， 并 且 互 联 
的 交换 设备 ， 才 属于 同一 个 域 。 这 四 字段 的 说 明 如 表 8-15 所 示 
CIST 内 部 路 径 开 销 ， 指 从 发 送 BPDU 报 文 的 端口 到 IST Master 
( 主 桥 ) 的 累计 路 径 开 销 。CIST 内 部 路 径 开销 也 是 根据 链 路 带 
宽 计算 的 

CIST 的 指定 桥 ID 





CIST Remaining Hops 


BPDU 报 文 在 CIST 中 的 剩余 跳 数 (每 经 过 一 个 桥 设备 跳 数 减 1) 





MSTI Configuration 
Messages(may be absent) 





MSTI 配置 消息 。 每 个 MSTI 的 配置 消息 占 16 个 字 节 ， 如 果 有 
n 个 MSTI 就 占用 nx16bytes。 单 个 MSTI 配置 消息 的 结构 如 图 
8-35 所 示 ， 字 段 说 明 如 表 8-16 所 示 





Octet 


Configuration Identifier Format Selector 39 
Configuration Name 40-71 


Configuration Digest 74-89 








图 8-34 MST 配 置 标识 符 结构 


Octet 





MSTI Remaining Hops 


Configuration Identifier 
Format Selector 











图 8-35 MSTI 配 置 消息 结构 





配置 标识 符 格式 选择 器 ， 固 定 为 0 





Configuration Name 


MST 域名 ，32 字 节 长 字符 串 ， 每 个 MST 域 有 唯一 的 配置 消息 





Revision Level 


MST 配置 修订 级 别 ，2 字 节 非 负 整数 





Configuration Digest 


配置 摘要 , 利用 HMAC-MD5 算法 将 域 中 VLAN 和 实例 的 映射 
关系 加 密 成 16 字 节 的 摘要 





表 8-16 MSTI 配 置 消息 字段 说 明 





字段 | 字 节 数 | 说 明 











MSTI Flags 1 ”| MSTI 标 志 位 
MSTI Regional Root re 
Taf 8 | MSTI 域 根 桥 ID 























( 续 表 ) 
字段 字 节 数 说 明 
MSTI Internal Root MSTI 内 部 路 径 开 销 ， 指 从 本 端口 到 MSTI 域 根 桥 的 累计 路 径 
Path Cost 开销 。MSTI 内 部 路 径 开销 根据 链 路 带宽 计算 
MSTI Bridge Priority 1 | 本 桥 在 MSTI 中 的 桥 优先 级 
MSTI Port Priority 1 | 发 送 MST BPDU 的 端口 在 MSTI 中 的 端口 优先 级 
MSTI Remaining Hops 1 | BPDU 报 文 在 MSTI 中 的 剩余 跳 数 





2. MSTP BPDU 报 文 格式 可 配置 功能 

目前 MSTP 的 BPDU 报 文 存在 两 种 格式 。 
(1) dotls: IEEE802.1s 规 定 的 报 文 格式 。 
(2) legacy: 华为 私有 协议 报 文 格式 。 

如 果 端 口 收发 报 文 格式 为 缺 省 支持 dotls 或 者 legacy， 这 样 就 存在 一 个 缺点 : 需要 人 工 识别 对 端的 
BPDU 报 文 格 式 ， 然 后 手工 配置 命令 来 决定 支持 哪 种 格式 。 人 工 识 别 报 文 格式 比较 困难 ， 且 一 旦 配置 错误 ， 
就 有 可 能 导致 MSTP 计 算 错 误 ， 出 现 环 路 。 

华为 技术 有 限 公 司 采 用 的 端口 收发 MSTP 报 文 格式 可 配置 〈stp compliance) 功能 ， 文 持 自动 识别 

Cauto) 模式 ， 这 样 就 能 够 实现 对 BPDU 报 文 格式 的 自 适应 。 这 样 报 文 收发 不 但 支持 dotls 和 legacy 格 式 ， 还 
能 通过 auto 模 式 根据 收 到 的 BPDU 报 文 格式 自动 切换 接口 支持 的 BPDU 报 文 格式 ， 使 报 文 格式 与 对 端 匹 配 。 
在 自 适 应 的 情况 下 ， 接 口 初 始 支 持 dot1s 格 式 ， 收 到 报 文 后 ， 格 式 则 和 收 到 的 报 文 格式 保持 一 致 。 

3. 每 个 Hello Time 时 间 内 端口 最 多 能 发 送 BPDU 的 报 文 数 可 配置 功能 

Hello Time 定 时 器 用 于 生成 树 协议 定时 发 送 配置 消息 维护 生成 树 的 稳定 。 如 果 交 换 设 备 在 一 段 时 间 内 没 
有 收 到 BPDU 报 文 ， 则 会 由 于 消息 超时 而 对 生成 树 进行 重新 计算 。 当 交换 设备 成 为 根 交 换 设 备 时 ， 该 交换 设 
备 会 以 该 设置 值 为 时 间 间 隅 发 送 BPDU 报 文 。 非 根 交 换 设 备 采 用 根 交换 设备 所 设置 的 Hello Time 时 间 值 。 

华为 $ 系 列 交 换 机 提供 的 每 个 Hello Time 时 间 内 端口 最 多 能 够 发 送 的 BPDU 报 文 个 数 可 配置 (Max 
Transmitted BPDU Number in Hello Time is Configurable) 功能 ， 可 以 设 定 当前 端口 在 Hello Time 时 间 内 配置 
BPDU 的 最 大 发 送 数目 。 用 户 配置 的 数值 越 大 ， 表 示 每 Hello Time 时 间 内 发 送 的 报 文 数 越 多 。 适 当地 设置 该 
值 可 以 限制 端口 每 Hello Time 时 间 内 能 发 送 的 BPDU 数 目 ， 防 止 在 网 络 拓扑 动荡 时 ，BPDU 占 用 过 多 的 带宽 
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山东 






























































































































































































































































8.6 MSTP 配 置 


























在 了 解 了 MSTP 的 一 些 主要 基础 知识 和 工作 原理 后 ， 本 节 就 要 介绍 MSTP 协 议 的 具体 配置 与 管理 方法 
了 。 下 面 先 同样 了 解 一 下 华为 $ 系 列 交换 机 的 MSTP 相 关 参 数 缺 省 配置 ， 如 表 8-17 所 示 ， 实 际 应 用 的 配置 可 
以 基于 缺 省 配置 进行 修改 。 

























































































表 8-17 MSTP 相 关 参 数 的 缺 省 配置 






































参数 缺 省 值 
生成 树 协议 工作 模式 MSTP 模式 
MSTP 功能 全 局 MSTP 功能 使 能 ， 接 口 的 MSTP 功能 使 能 
交换 设备 的 优先 级 32768 
端口 的 优先 级 128 
路 径 开销 缺 省 值 的 计算 方法 dotlt， 即 IEEE 802.1t 标准 
Forward Delay Time 1 500 厘 秒 
Hello Time | 200 厘 秒 
Max Age Time 2 000 厘 秒 
























































MSTP 可 以 把 一 个 交换 网 络 划分 成 多 个 域 ， 每 个 域内 形成 多 棵 生成 树 ， 生 成 树 之 间 彼 此 独立 ， 实 现 不 
同 VLAN 流 量 的 分 离 ， 达 到 网 络 负载 均衡 的 目的 。 

通过 给 交换 设备 配置 MSTP 的 工作 模式 、 配 置 域 并 激活 后 ， 启 动 MSTP，MSTP 便 开始 进行 生成 树 计 
算 ， 将 网 络 修剪 成 树 状 ， 破 除 环 路 。 但 是 ， 如 果 需 要 人 为 干预 生成 树 计算 的 结果 ， 还 可 以 进行 如 下 配置 : 
手动 配置 指定 根 桥 和 备份 根 桥 设 备 ， 配 置 交换 设备 在 指定 生成 树 实例 中 的 优先 级 数值 ， 配 置 端口 在 指定 生 
成 树 实例 中 的 路 径 开 销 数值 ， 配 置 端口 在 指定 生成 树 实例 中 的 优先 级 数值 。 

下 面具 体 介绍 这 些 MSTP 基 本 功能 配置 任务 。 

1. 配置 MSTP 工 作 模 式 

这 一 项 配置 任务 很 简单 ， 就 是 指定 交换 设备 工作 在 MSTP 协 议 下 。MSTP 兼 容 STP 和 RSTP。 缺 省 情况 
下 ， 交 换 设 备 的 工作 模式 为 MSTP。 但 要 注意 的 是 ， 因 为 STP 和 MSTP 不 能 互相 识别 报 文 ， 而 MSTP 和 RSTP 
可 以 互相 识别 报 文 ， 所 以 如 果 设 备 工作 在 MSTP 工 作 模 式 下 就 会 设置 所 有 与 运行 STP 的 交换 设备 直接 相连 的 
端口 工作 在 STP 模 式 下 ， 其 他 端口 工作 在 MSTP 模 式 下 ， 实 现 运 行 不 同 生成 树 协议 的 设备 之 间 的 互通 。 

2. 配置 并 激活 MST 域 

MST 域 是 由 交换 网 络 中 的 多 台 交 换 设备 以 及 它们 之 间 的 网 段 所 构成 。 这 些 交 换 设 备 启动 MSTP 后 ， 具 有 
相同 域名 、 相 同 VLAN 到 生成 树 映 射 配 置 和 相同 MSTP 修 订 级 别 配置 ， 并 且 物 理 上 直接 相连 。 一 个 交换 网 络 
可 以 存在 多 个 MST 域 ， 用 户 可 以 通过 MSTP 配 置 命 令 把 多 台 交 换 设备 划分 在 同一 个 MST 域 内 。 

3. (可 选 ) 配置 根 桥 和 备份 根 桥 

可 以 通过 生成 树 计算 来 自动 确定 生成 树 的 根 桥 ， 用 户 也 可 以 手动 配置 设备 为 指定 生成 树 的 根 桥 或 备份 
根 桥 。 在 一 棵 生成 树 中 ， 生 效 的 根 桥 只 有 一 个 ， 当 两 台 或 两 台 以 上 的 设备 被 指定 为 同一 棵 生成 树 的 根 桥 
时 ， 系 统 将 选择 MAC 地 址 最 小 的 设备 作为 根 桥 。 
可 以 在 每 棵 生成 树 中 指定 多 个 备份 根 桥 。 当 根 桥 出 现 故障 或 被 关机 时 ， 备 份 根 桥 可 以 取代 根 桥 成 为 指 
定 生成 树 的 根 桥 ， 但 此 时 如 果 配 置 了 新 的 根 桥 ， 则 备份 根 桥 不 会 成 为 根 桥 :如果 配 置 了 多 个 备份 根 桥 ， 则 
MAC 地 址 最 小 的 备份 根 桥 将 成 为 指定 生成 树 的 根 桥 。 

设备 在 各 生成 树 中 的 角色 互相 独立 ， 一 台 交 换 设 备 在 作为 一 棵 生成 树 的 根 桥 或 备份 根 桥 的 同时 ， 也 可 
以 作为 其 他 生成 树 的 根 桥 或 备份 根 桥 ; 但 在 同一 棵 生成 树 中 ， 一 台 设 备 不 能 既 作为 根 桥 ， 又 作为 备份 根 
桥 。 在 配置 MSTP 过 程 中 ， 建 议 手动 配置 根 桥 和 备份 根 桥 。 
4. (可 选 ) 配置 交换 设备 在 指定 生成 树 实例 中 的 优先 级 
在 一 个 生成 树 实例 中 有 且 仅 有 一 个 根 桥 ， 它 是 该 生成 树 实例 的 逻辑 中 心 。 在 进行 根 桥 的 选择 时 ， 一 般 
会 希望 选择 性 能 高 、 网 络 层 次 高 的 交换 设备 作为 根 桥 。 但 是 ， 性 能 高 、 网 络 层次 高 的 交换 设备 其 优先 级 不 
一 定 高 ， 因 此 需要 配置 优先 级 以 保证 该 设备 成 为 根 桥 。 交 换 设 备 在 指定 生成 树 实例 中 的 优先 级 值 越 小 ， 则 
交换 设备 的 优先 级 越 高 ， 成 为 该 生成 树 实例 根 桥 的 可 能 性 越 大 。 







































































































































































































































































































































































































































































































































































































































































对 于 生成 树 实例 中 部 分 性 能 低 、 网 络 层 次 


以 保证 该 设备 不 会 成 为 根 桥 。 





























据 ， 在 不 同 生成 树 实例 ， 
发 ， 实 现 VLAN 的 负载 分 担 功能 。 























5，《 可 选 ) 配置 端口 在 指定 生成 树 实例 ! 
路 径 开 销 是 一 个 端口 量 ， 是 MSTP 协 议 用 于 选择 链 路 的 参考 值 。 端 口 的 路 径 开销 是 生成 树 计 算 的 重要 依 
为 同一 端口 配置 不 同 的 路 径 开 销 值 ， 可 以 使 不 同 VLAN 的 流量 沿 不 同 的 物理 链 路 转 


在 同一 种 计算 方法 下 ， 端 口 开 销 值 越 小 ， 端 口 








的 路 径 开销 



















































































达 根 桥 路 径 开 销 最 小 者 ， 就 是 根 端口 。 
将 其 路 径 开 销 值 配置 相对 较 大 ， 以 使 其 在 4 
6. 《可 选 ) 配置 端口 在 指定 生成 树 实例 ! 
在 参与 MSTP 生 成 树 计 算 时 ， 对 于 处 在 生成 树 实例 
端口 优先 级 值 越 小 ， 端 口 在 该 4 


























所 | 





























选举 为 指定 端口 。 













































































的 优先 级 





在 该 生成 树 实例 中 到 根 桥 的 路 径 开销 越 小 ， 成 为 根 端 吕 
的 可 能 性 就 越 大 。 端 口 路 径 开销 会 影响 指定 生成 树 实例 中 根 端口 的 选择 ， 在 该 实例 中 某 台 设备 所 有 端口 到 

在 存在 环 路 的 网 络 环境 中 ， 对 于 链 路 速率 值 相 对 较 小 的 端口 ， 建 议 
成 树 算法 中 被 选举 成 为 阻塞 端口 ， 阻 塞 其 所 在 链 路 。 











氏 的 交换 设备 ， 不 适合 作为 根 桥 设备 ， 一 般 会 配置 其 优先 级 





























FP 的 交换 设备 端口 ， 其 优先 级 的 高 低 会 影响 到 是 否 被 



































成 树 实例 中 成 为 指定 端口 的 可 能 性 就 越 大 ， 值 越 大 ， 端 
口 在 该 生成 树 实例 中 成 为 指定 端口 的 可 能 性 越 小 。 如 果 希 望 将 生成 树 实例 中 的 某 交 换 设 备 的 端口 阻 




















从 而 





破除 环 路 ， 则 可 将 其 端口 优先 级 值 设置 比 缺 省 值 大 ， 使 得 在 选举 过 程 中 成 为 被 阻塞 的 端口 。 


7. 启用 MSTP 











当 交 换 设备 配置 MSTP 基 本 功能 后 ， 必 须 使 能 设备 MSTP 功 能 ，MSTP 相 关 配 置 才能 生效 。 























在 环形 网 络 ! 





pa 














先 级 等 参数 都 会 影响 到 生成 树 的 计算 ， 在 计算 过 程 ! 




















一 旦 启用 MSTP，MSTP 便 立 即 进行 生成 树 计算 。 而 且 ， 诸 如 交换 设备 的 优先 级 、 端 口 优 















































这 些 参数 的 变动 可 能 会 导 





网 络 振荡 。 为 了 保证 生成 








树 计算 过 程 快 速 而 且 稳定 ， 必 须 在 对 交换 设备 及 其 端口 进行 必要 的 基本 配置 以 后 再 启用 MSTP。 








8. 配置 收敛 方式 




















当 生 成 树 的 拓扑 结构 发 生 改 变 时 ， 和 它 建立 映射 关系 的 VLAN 的 转发 路 径 也 将 发 生变 化 。 此 时 ， 交 换 设 
备 的 ARP 表 中 与 这 些 VLAN 相 关 的 表 项 也 需要 更 新 。 根 据 对 ARP 表 项 的 处 理 方式 不 同 ，MSTP 的 收敛 方式 分 





为 fast 和 normal 两 种 。 














(1) fast: ARP 表 将 需要 更 新 的 表 项 直接 删除 。 


(2) normal: ARP 表 中 需要 更 新 








的 表 项 快速 老化 。 




















交换 设备 将 ARP 表 中 这 些 表 项 的 剩余 存活 时 间 置 为 0， 对 这 些 表 项 进行 老化 处 理 。 如 果 配 置 的 ARP 老 


化 探测 次 数 大 于 零 ， 





的 ARP 表 项 删除 可 能 会 导致 设备 CPU 占用 率 高 达 100%， 报 文 处 理 超时 











8.6.2 配置 MSTP 基 本 功能 





























则 ARP 对 这 些 表 项 进行 老化 探测 。 建 议 选 择 normal 收 敛 方式 。 若 选择 fast 方 式 ， 频 繁 




















导致 网 络 振荡 。 


MSTP 可 阻塞 二 层 网 络 中 的 见 余 链 路 ， 将 网 络 修剪 成 树 状 ， 达 到 消除 环 路 的 目的 。 同 时 ，MSTP 引 入 多 











实例 ， 通 过 将 不 同 VLAN 了 映射 到 不 同 实例 ! 


下 。 











(1) 在 环形 网 络 中 ， 划 分 MST 域 ， 在 域 中 配置 不 同 的 MSTI。 
(2) 为 各 个 MSTI 选 出 其 中 的 一 个 交换 设备 作为 根 桥 。 








(3) 在 各 个 MSTI 中 计算 出 其 他 交换 设备 到 
(4) 在 各 个 MSTI 中 通过 端口 ID 为 每 个 连接 ; 
上 节 介 绍 的 八 项 MSTP 基 本 功能 配置 任务 的 











举 出 一 个 指定 端口 。 
人 体 配 置 步骤 如 表 8-18 所 示 。 



































民 桥 的 最 短路 径 ， 为 每 个 非 根 桥 设备 选举 一 个 根 端 











， 实 现 不 同 VLAN 的 流量 负载 分 担 。MSTP 的 基本 配置 思路 如 


























表 8-18 MSTP 基 本 功能 配置 步 又 


system-view 
例如 : <HUAWEI> 
System-view 


stp mode mrstp 
例如 : [HUAWEI] stp 
mode mstp 


取 








进入 系统 视图 


配置 交换 机 的 MSTP 生成 树 工作 模式 。 执 行 本 命令 后 ， 
在 交换 设备 所 有 启用 生成 树 协议 的 端口 中 ， 除 了 和 
STP 交换 设备 直接 相连 的 端口 工作 在 STP 模式 下 ， 
其 他 端口 都 工作 在 MSTP 模式 下 ， 即 向 外 发 送 MST 
BPDU 报 文 

缺 省 情况 下 , 除 S2700SI 子 系列 运行 模式 为 STP 模式 外 ， 
其 他 系列 为 运行 MSTP 模式 ，MSTP 模式 兼容 STP 和 
RSTP 模式 , 可 用 undo stp mode 命令 恢复 交换 设备 的 缺 
省 生成 树 协 议 工作 模式 








stp region-configuration 
例如 ， [HUAWEI] stp 
region-configuration 


region-name name 
例如 : [HUAWEI-mst- 
region] region-name 
lycb 





进入 MST 域 视图 ， 进 行 MST 域 配置 。 只 要 两 台 交 换 
设备 的 以 下 配置 相同 ， 这 两 台 交 换 设备 才 属 于 同一 个 
MST 域 。 

(1) MST 域 的 域名 

(2) 多 生成 树 实例 和 VLAN 的 映射 关系 

(3) MST 域 的 修订 级 别 

当 需 要 为 当前 设备 或 MSTP 进程 配置 上 述 3 个 参数 时 ， 
就 需要 通过 本 命令 进入 MST 域 视图 。 缺 省 情况 下 ,这 3 
个 参数 均 取 以 下 缺 省 值 。 

(1) MST 域名 为 交换 设备 主 控 板 的 MAC 地 址 

(2) MSTP 修订 级 别 取 值 为 0 

(3) 所 有 VLAN 均 映射 到 CIST 上 

可 用 undo stp region-configuration 命令 将 MST 域 配置 
恢复 为 缺 省 值 

配置 MST 域 的 域名 , 为 1 一 32 个 字符 ,不 支持 空格 ,区 
分 大 小 写 

缺 省 情况 下 ，MST 域 的 域名 等 于 交换 设备 主 控 板 上 
管理 网 口 的 MAC 地 址 , 即 桥 MAC 地 址 , 可 用 undo 
region-name 命令 恢复 交换 设备 MST 域名 为 缺 省 值 









配置 多 生成 树 实例 和 VLAN 的 映 
射 关 系 。 命 令 中 的 参数 说 明 如 下 。 
(1) instance-id: 取 值 范围 不 同 S 系 
列 交换 机 有 所 不 同 ，S2700 系列 为 
0 一 16，S3700/9300 系列 为 0 一 48， 
S5700/6700/7700/9700 为 0 一 4094 
的 整数 ， 取 值 为 0 表示 的 是 CIST 
(2)vlan-id7: 指定 要 映射 的 VLAN 
的 起 始 VLAN ID, 取 值 范围 为 1 一 
4094 

(3) vlan-id2: 可 选 参数 ， 指 定 要 
映射 的 VLAN 的 结束 VLAN ID， 
取 值 范围 为 2 一 4094 

(4) &<1-10>: 表示 前 面 的 参数 或 
参数 对 最 多 可 以 重复 10 次 
缺 省 情况 下 ， 所 有 VLAN 均 映 射 
到 CIST, 即 实例 0 上 , 可 用 undo | ，_ at 
instance instance-id [ vlan { vlan-idl (二 选 一 ) i 生 
[to wan-id2 ] ) &<1-10> ] 命 令 删 | 成 树 实例 与 VLAN 
除 指定 VLAN 和 指定 生成 树 实例 | 的 映射 关系 。 由 于 
的 映射 关系 命令 vlan-mapping 


modulo modulo 实 


配置 多 生成 树 实例 和 VLAN 按照 

缺 省 算法 自动 分 配 喘 射 关系 。 参 | 机 内 站 吨 全 屿 中 
数 modulo 用 来 指定 映射 的 模 值 ， | 的 多 生成 树 实例 与 
取 值 范围 也 因 不 同 交换 机 系列 有 | VLAN 的 映射 关 
所 不 同 : S2700 系列 为 1 一 16 的 整 | 系 ， 建 议 使 用 命令 
数 ，S3700/9300 系列 为 1 一 48 的 | instanceinstance-id 
整数 ，S5700/6700/ 7700/9700 系 | vlan { wan-idy [to 
列 为 1 一 64 的 整数 Van-id2 ] }&<1-10> 
【说 明 】〗 本 命令 可 以 快速 配置 | 配置 多 生成 树 实例 
VLAN 映射 表 , 使 每 个 VLAN 按照 | 和 VLAN 的 映射 关 
配置 被 映射 到 不 同 的 生成 树 实例 | 系 

上 。 它 是 指 VLAN ID 减 1 后 除 以 




















































Instance instance-id 
ylan { vian-idl [to 
vlan-id2 ] }&<1-10> 
例如 : [HUAWEI-mst- 
region] instance 1 
ylan ] to 3 















vlan-mapping modulo 

















modulo 

例如 : [HUAWEI- 模 值 modulo 值 的 余数 再 加 1， 即 
oe (VLAN ID-1) %modulo+1， 然后 通 
vlan-mapping 过 此 算法 来 分 配 到 对 应 的 实例 中 ， 





modulo 2 即 余数 加 1 为 几 就 将 此 VLAN 分 配 


到 实例 几 中 。 如 模 值 modulo 为 16， 
则 VLANI1 映射 到 MSTI1、 VLAN2 
映射 到 MSTI2……VLAN16 映射 到 
MSTI16、VLAN17 映射 到 MSTI]1， 
依 此 类 推 

缺 省 情况 下 , 所 有 VLAN 均 映 射 到 
CIST， 即 实例 0 上 ,可 用 undo 
vlan-mapping modulo 命令 将 多 生 
成 树 实例 和 VLAN 按照 缺 省 算法 
自动 分 配 映 射 关 系 恢复 为 缺 省 情况 














(可 选 ) 
配置 根 桥 
和 备份 
根 桥 


(可 选 ) 
配置 安 换 
设备 在 指 
定 生成 树 
实例 中 的 
优先 级 


revision-level /eve/ 
例如 : [HUAWEI- 
mast-region] 
revision-level 5 


active 
region-configuration 
例如 : [HUAWEI- 
mst-region]active 
region-configuration 


配置 MST 域 的 MSTP 修订 级 别 , 取 值 范围 为 0 一 65 535 
的 整数 。 当 设备 所 在 域 的 MSTP 修订 级 别 不 为 0， 则 需 
要 执行 本 操作 

缺 省 情况 下 ，MSTP 域 的 MSTP 修订 级 别 为 0 

激活 MST 域 的 配置 ， 使 以 上 MST 域名 、VLAN 映射 表 
和 MSTP 修订 级 别 配 置 生效 

如 果 不 执行 本 操作 ， 以 上 配置 的 域名 、VLAN 映射 表 和 
MSTP 修订 级 别 无 法 生效 。 如 果 在 启动 MSTP 特性 后 又 
修改 了 交换 设备 的 MST 域 相 关 参 数 ， 可 以 通过 执行 本 
命令 激活 MST 域 ， 使 修改 后 的 参数 生效 

【说 明 】〗 由 于 MST 域 相关 参数 (特别 是 VLAN 映射 表 ) 
的 变化 会 引起 MSTP 重新 计算 生成 树 , 从 而 引起 网 络 拓 
扑 振 荡 。 因 此 ， 在 完成 配置 MST 域名 、 配 置 多 生成 树 
实例 与 VLAN 的 映射 关系 和 配置 MST 域 的 MSTP 修订 
级 别 后 ， 建 议 在 MST 域 视图 下 执行 命令 check 
region-configuration 确定 未 生效 的 域 参 教 配置 是 否 正 
确 。 在 确认 域 参 数 无 误 后 ， 再 执行 本 命令 激活 新 的 MST 
域 配置 





quit 
例如 ，[HUAWEI- 
mst-region] quit 


stp [ instance 
instance-id ] root 
{primary | 
secondary} 

例如 : [HUAWEI stp 
instance | root primary 


stp [ instance 
instance-id ] 

priority priority 
例如 : [HUAWEI] stp 
instance | priority 100 


退出 MST 域 视 图 ， 返 回 系统 视图 


配置 当前 设备 为 指定 MSTI 的 根 桥 或 备份 根 桥 。 可 选 参 
数 instance-id 用 来 指定 MSTI 的 编号 ， 如 果 不 指定 此 可 
选 参数 ， 则 将 作为 CIST 的 根 桥 或 备份 根 桥 设 备 

配 党 为 根 桥 后 该 设备 优先 级 BID 值 自动 为 0， 配 恬 为 备 
份 根 桥 后 该 设备 优先 级 BID 值 自动 为 4096， 且 都 不 能 
更 改 

缺 省 情况 下 ， 交 换 设 备 不 作为 任何 生成 树 的 根 桥 和 备份 
根 桥 ， 可 用 undo stp root 命令 取消 当前 设备 作为 指定 
MSTI 的 根 桥 或 备份 根 桥 的 资格 

配置 当前 设备 在 指定 MSTI 中 的 桥 优先 级 。 命 令 中 的 参 
数 说 明 如 下 。 

(1) instance-id: 可 选 参数 ， 用 来 指定 MSTI 的 编号 ， 如 
果 不 指定 此 可 选 参数 ， 则 将 配置 当前 设备 在 CIST 中 的 
桥 优 先 级 

(2)priority: 指定 当前 设备 的 桥 优 先 级 , 取 值 范围 是 0 一 
61 440， 步 长 为 4096, 即 仅 可 以 配置 16 个 优先 级 取 值 ， 
如 0、4 096、8 192 等 ， 不 能 随便 设 。 优 先 级 值 越 小 ， 
则 优先 级 越 高 ， 越 能 成 为 根 桥 或 备份 根 桥 

缺 省 情况 下 ， 交 换 设备 的 桥 优 先 级 值 为 32 768， 可 用 
undo [ instance instance-id ] stp priority 命令 恢复 交换 
机 的 桥 优先 级 为 缺 省 值 

【注意 】 如 果 已 执行 了 上 步 命令 将 当前 交 撞 机 作为 报 桥 
或 备份 根 桥 ， 则 在 需要 改变 当前 设备 的 优先 级 时 需 先 执 
行 undo stp [ instance insiance-id ] root 去 使 能 要 交换 设 
备 或 者 备份 根 交 换 设 备 功能 ， 然 后 执行 本 命令 配置 新 的 
优先 级 孝 值 





区 


(可 选 ) 
配置 端口 
在 指定 生 
成 树 实例 
中 的 路 径 
开销 


stp patheost-standard 
{ dotld-1998 | dotlt | 
legacy } 

例如 : [HUAWEI]stp 
pathcost-standard 
dotld-1998 


Interface interface-type 
interface-number 
例如 : [HUAWEJD] 
interface 
GigabitEthernet 1/0/0 


stp [ instance 
instance-id ] ¢ost cost 
例如 : [HUAWEI- 
GigabitEthemet1/0/0] 
stp instance | cost 
200 


配置 端口 路 径 开销 缺 省 值 的 计算 方法 。 命令 中 的 选项 说 
明 如 下 。 

(1) dot1d-1998: 多 选 一 选项 ， 表 示 采 用 IEEE 802.1D 
标准 计算 方法 

(2) dotlt: 多 选 一 选项 ， 表 示 采 用 IEEE 802.1t 标准 计 
算 方法 

(3) legacy: 多 选 一 选项 ， 表 示 采 用 华为 的 私有 计算 方法 
缺 省 情况 下 , 路 径 开销 缺 省 值 的 计算 方法 为 IEEE 802.1t 
(dotlt) 标准 方法 ， 可 用 undo stp pathcost-standard 命 
令 恢复 路 径 开 销 缺 省 值 采用 缺 省 计算 方法 。 且 同一 网 络 
内 所 有 交换 设备 的 端口 路 径 开 销 应 使 用 相同 的 计算 方法 


进入 要 参与 生成 树 计算 的 接口 视图 


设置 当前 端口 在 指定 生成 树 实例 中 的 路 径 开销 值 ， 用 于 
桥 的 根 端 口 选举 ， 值 越 大 ， 优 先 级 越 低 。 命令 中 的 参数 
说 明 如 下 。 

(1) instance-id: 可 选 参数 ， 指 定 要 设置 当前 端口 路 答 
开销 值 的 所 在 MSTI 编 号， 如 果 不 指定 此 参数 ， 则 为 在 
CIST 中 配置 该 端口 的 路 径 开 销 值 

(2) cost: 设置 当前 端口 在 指定 MSTI 中 的 路 径 开销 值 。 
取 值 范围 根据 所 采用 的 计算 方法 的 不 同 而 不 同 : 

使 用 华为 的 私有 计算 方法 时 参数 cost 的 取 值 范围 是 
1 一 200 000 

回 使 用 IEEE 802.1d 标准 方法 时 参数 cost 的 取 值 范围 是 
1 一 65 535 

@ 使 用 IEEE 802.1t 标准 方法 时 参数 cost 的 取 值 范围 是 
1 一 200000000 

缺 省 情况 下 ， 端 口 的 路 径 开销 值 为 接口 速率 对 应 的 路 径 
开销 缺 省 值 ， 可 用 undo stp [ instance instance-id ] cost 
命令 恢复 当前 接口 在 指定 MSTI 中 的 路 径 开 销 为 缺 省 
值 。 当 采用 华为 私有 计算 方法 时 的 缺 省 值 参见 表 8-5 
【说 明 】〗 在 存在 环 路 的 网 络 环 境 中 ， 对 于 链 路 连 率 值 相 
对 较 小 的 接口 ， 建 议 将 其 路 径 开销 值 配 置 相对 较 大 ， 以 
使 其 在 生成 树 算法 中 被 选举 成 为 阻塞 端口 ,阻塞 其 所 在 
链 路 ， 因 为 开销 值 越 大 的 接口 越 将 成 为 阻塞 端口 





(可 选 ) 
配置 端口 


stp | instance 
instance-id ] 

Port priority priority 
例如 : [HUAWEI- 
GigabitEthernet1/0/0] 
stp port priority 64 


配置 端口 在 指定 生成 树 实例 中 的 优先 级 , 参与 指定 端口 
的 选举 。 命 令 中 的 参数 说 明 如 下 。 

(1) instance-id 可 选 参数 ， 指 定 要 设置 当前 端口 优先 
级 值 的 所 在 MSTI 编号 ， 如 果 不 指 定 此 参数 ， 则 为 在 
CIST 中 配置 该 端口 的 优先 级 值 

(2) priorit': 设置 当前 端口 在 指定 MSTI 中 的 优先 级 ， 
取 值 范围 是 0 一 240， 步 长 为 16， 不 能 随便 设置 ， 且 优 
先 级 值 越 小 ， 优 先 级 越 高 ， 越 能 成 为 指定 端口 
缺 省 情况 下 ， 端 口 的 优先 级 取 值 是 128， 可 用 undo stp 
port priority 命令 恢复 当前 接口 的 优先 级 为 缺 省 值 
















































对 所 有 要 参与 STP 或 者 RSTP 生成 树 计算 的 各 交换 机 端口 重复 以 上 第 12 一 第 14 步 
quit 
15 | 全 轩 UAW 06] | 运 出 接口 视图 ， 返 回 系 统 视图 
quit 
使 能 交换 机 的 MSTP 功能 。 本 命令 既 可 在 系统 视图 下 全 
局 启用 交换 机 上 各 端口 的 MSTP 功能 , 也 可 在 具体 接口 
视图 下 仅 启 用 对 应 接口 的 MSTP 功能 
启用 stp enable 缺 省 情况 下 ，S2700/3700/9300 系列 交换 机 中 的 
ES 例如 : [HUAWEI] STP/RSTPMSTP 功能 处 于 启用 状态 ， 可 用 undo stp 
stp enable enable 命令 去 使 能 交换 设备 或 端口 上 的 STP/RSTP/ 
16 | 或 MSTP 功能 。 也 可 用 stp disable 命令 去 使 能 交换 设备 
[HUAWEI- 或 端口 上 的 MSTP/RSTP 功能 (在 S2700/3700 系列 交 
GigabitEthernet1/0/0] | 换 机 中 仅 可 使 用 此 命令 去 使 能 STP/RSTP/MSTP 功 
stp enable 能 ); 在 S5700/6700/7700/9700 系列 交换 机 中 的 MSTP 
功能 处 于 禁用 状态 ， 可 用 stp enable 或 者 undo stp 
disable 命令 使 能 交换 设备 或 端口 上 的 STP/RSTP/ 
MSTP 功能 
配置 MSTP 多 生成 树 的 收敛 方式 。 命 令 中 的 选项 说 明 
如 下 。 
(1) fast: 二 选 一 选项 ， 指 定 采 用 快速 方式 ，ARP 表 将 
需要 更 新 的 表 项 直接 删除 
(可 选 》 stp converge (2) normal: 二 选 一 选项 ， 指 定 采用 普通 模式 ， 仅 将 
配置 端口 | 7 | {fast| normal } ARP 表 中 需要 更 新 的 表 项 快速 老化 
的 收敛 例如 : [HUAWEI 缺 省 情况 下 ， 端 口 的 STP/RSTP/MSTP 收敛 方式 为 
方式 stp converge fast normal, 可 用 undo stp converge 命令 恢复 STP/RSTP/ 
MSTP 收敛 方式 为 缺 省 值 。 建 议 选择 normal 收敛 方 
式 。 若 选择 fast 方式 ， 频 繁 的 ARP 表 项 删除 可 能 会 
导致 设备 CPU 占用 率 高 达 100%, 报 文 处 理 超 时 导致 
网 络 振荡 











8.6.3 MSTP 多 进程 基本 功能 及 主要 配置 任务 
































在 二 层 单 接 环 和 二 层 双 接 环 混合 组 网 环境 下 ， 交 换 设 备 同时 承载 二 三 层 业 务 。 为 了 实现 不 同 的 环 完成 
不 同 的 业务 ， 可 在 该 组 网 上 部 署 MSTP 多 进程 ， 实 现 不 同 环 上 的 生成 树 协 议 进行 独立 计算 ， 互 不 影响 。 但 
S2700/3700/5700LI 系 列 交 换 机 不 支持 MSTP 多 进程 功能 。 

在 如 图 8-36 所 示 的 网 络 中 ，SwitchA、SwitchB 和 SwitchC 之 间 通 过 二 层 链 路 相连 ， 并 且 同 时 启动 MSTP 
协议 。 环 上 的 CE 设备 只 支持 STP/RSTP 协 议 并 且 存 在 多 个 接 入 环 ， 不 同 的 接 入 环 在 SwitchA 和 SwitchB 上 通过 
不 同 的 端口 接 入 。 
在 图 中 ，SwitchA 和 SwitchB 之 间 的 链 路 也 是 二 层 链 路 ， 并 运行 MSTP 协议 ， 但 SwitchA 和 SwitchB 之 间 
的 链 路 是 多 接 入 环 的 共享 链 路 ， 它 与 其 他 接 入 环 链 路 的 不 同 在 于 : 共享 链 路 上 的 端口 需要 参与 多 个 接 入 环 
和 多 个 MSTP 进 程 的 计算 ， 这 样 SwitchA 和 SwitchB 之 间 的 MSTP 协议 报 文 就 需要 能 区 分 是 来 自 哪 个 进程 的 
MSTP 协 议 报 文 。 
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SwitchA SwitchB CE 


Instancel:VLAN1~100 Instance3:VLAN1~100 


Process 1 Process 3 


Instance2:VLAN101~200 
Process 2 























图 8-36 MSTP 多 进程 示例 
































此 外 ， 共 享 链 路 上 的 同一 个 端口 同时 参与 多 个 MSTP 进程 的 计算 ， 多 个 MSTP 进 程 中 都 会 计算 出 端口 状 





























态 ， 这 样 端口 就 可 能 


路 上 的 端口 参与 了 多 
MSTP 进 程 。 








司 时 存在 多 个 状态 ， 从 而 无 法 决定 采用 哪个 生成 树 的 状态 。 要 注意 的 是 ， 虽 然 共享 链 
个 MSTP 进程 的 状态 计算 ,但 是 该 共享 链 路 只 具有 MSTP 进 程 0 的 状态 ， 不 会 影响 其 他 
















































































MSTP 的 多 进程 功能 实现 了 各 个 环 之 间 的 MSTP 独立 运行 ， 每 个 MSTP 进 程 可 以 管理 设备 上 的 部 分 端 





口 ， 即 设备 的 二 层 端 




































































口 资源 被 多 个 MSTP 进 程 分 割 管理 ， 每 个 MSTP 进 程 上 都 运行 标准 的 MSTP 协 议 。 但 在 

















配置 MSTP 多 进程 基本 功能 之 前 ， 需 完成 MST 域 配置 并 激活 。 























MSTP 多 进程 下 的 基本 功能 配置 任务 如 下 。 总 体 上 与 8.6.1 节 介绍 的 单 进程 下 MSTP 基 本 功能 配置 任务 存 


在 许多 类 似 之 处 ， 只 


而 且 必须 先 完成 8.6.1 节 介绍 的 单 进程 下 的 MSTP 工 作 模式 和 MST 域 名 并 激活 配置 。 














是 需要 创建 多 个 MSTP 进 程 ， 然 后 在 对 应 进程 下 为 对 应 的 MSTI 配 置 MSTP 基本 功能 ， 






































(1) 创建 MSTP 进 程 。 进 程 的 ID 是 识别 MSTP 多 进程 的 唯一 标识 。MSTP 设 备 将 端口 绑 定 在 进程 中 ， 设 














备 将 以 进程 为 边界 进 
入 环 相 连接 的 设备 上 















































行 MSTP 协 议 计 算 ， 不 在 此 进程 内 的 端口 将 不 参与 此 进程 的 协议 计算 。 需 要 在 与 多 个 接 
进行 MSTP 进 程 创 建 配 置 。 

































































(2) 配置 端口 加 入 MSTP 进 程 。 通 过 将 端口 加 入 MSTP 进 程 中 ， 可 使 其 参与 MSTP 协 议 计 算 。 使 能 
MSTP 功 能 的 设备 与 接 入 环 相 连 的 链 路 叫做 接 入 链 路 ， 多 个 接 入 环 共 用 的 链 路 叫做 共享 链 路 。 共 享 链 路 上 的 











端口 需要 参与 多 个 接 









































入 环 和 多 个 MSTP 进 程 的 计算 ， 所 以 需要 加 入 多 个 MSTP 进 程 。 








(3) (可 选 ) 


配置 根 桥 和 备份 根 桥 。 可 以 通过 计算 自动 确定 生成 树 的 根 桥 
为 指定 MSTP 进 程 下 的 指定 MSTI 配 置 根 桥 或 备份 根 桥 。 
































用 户 也 可 以 手动 配置 设备 




































































(4) (可 选 ) 再 
的 指定 MSTI 中 的 桥 优先 级 ， 以 便 参与 在 指定 MSTI 中 的 根 桥 选 举 。 在 进行 根 桥 的 选择 时 ， 一 般 希 望 选择 性 

















bt 置 交 换 设备 在 指定 生成 树 实例 中 的 优先 级 。 可 以 为 各 交换 设备 配置 在 指定 MSTP 进 程 












































高 、 网 络 层次 高 的 
要 配置 优先 级 以 保 


下 
能 














交换 设备 作为 根 桥 。 但 是 ， 性 能 高 、 网 络 层次 高 的 交换 设备 其 优先 级 不 一 定 高 ， 因 此 
证 该 设备 成 为 根 桥 。 














(5) (可 选 ) 百 
间 定 MSTP 进程 下 的 指定 MSTI 中 的 路 径 开 销 值 ， 以 便 参 与 在 指定 MSTI 中 的 根 端 口 的 选举 。 








bt 置 端口 在 指定 生成 树 实例 中 的 路 径 开销 。 同 样 可 以 为 各 运行 MSTP 协 议 的 端口 配置 在 







































































(6) (可 选 ) 






































配置 端口 在 指定 生成 树 实例 中 的 优先 级 。 这 里 是 为 各 运行 MSTP 协议 的 端口 配置 在 指定 
MSTP 进 程 下 的 指定 MSTI 中 的 优先 级 值 ， 以 便 参与 在 指定 MSTI 中 的 指定 端口 的 选举 。 
















































































(7) 配置 MSTP 多 进程 的 TC 通告 功能 。 配 置 MSTP 多 进程 的 TC 通告 功能 后 ， 当 前 MSTP 进 程 在 收 到 TC 


报 文 后 ， 能 够 及 时 通 
证 用 户 业 务 不 中 断 。 























、\ 












































告 给 其 他 指定 MSTP 进 程 中 的 实例 ， 以 便 使 其 及 时 刷新 MAC 表 项 和 ARP 表 项 ， 从 而 保 
这 是 需要 在 与 接 入 环 相 连接 的 设备 上 进行 配置 。 





















































(8) 启用 MSTP。 当 交换 设备 配置 MSTP 多 进程 基本 功能 后 ， 必 须 在 指定 进程 视图 下 使 能 设备 MSTP 功 





能 ， 该 进程 的 MSTP 相 关 配 置 才 能 生效 。 








8.6.4 配 置 MSTP 多 进 





程 基本 功能 















































上 贡 介 绍 的 MSTP 多 进程 基本 功能 八 项 配置 任务 的 具体 配置 步骤 如 表 8-19 所 示 。 








表 8-19 MSTP 基 本 功能 配置 步 又 





配置 任务 | 步骤 


创建 MSTP 
进程 


命令 
system-view 
例如 : <HUAWEI> 
System-view 


stp process process-id 
例如 : [HUAWEI] stp 
process 10 


quit 
例如 : [HUAWEI-mst- 
process-10] quit 


说 明 


进入 系统 视图 


创建 MSTP 进程 并 进入 该 MSTP 进程 的 视图 。 
S5700/6700 系列 交换 机 的 取 值 范围 为 1 一 25 的 整 
数 ; S7700/9300/9700 系列 交换 机 的 取 值 范围 0 
为 1 一 63 的 数 ， 最 大 支持 16 个 MSTP 进程 
缺 省 情况 下 ， 整 个 设备 的 所 有 MSTP 相关 配置 均 
属于 进程 0， 可 用 undo stp process process-id 命 
令 删除 一 个 指定 的 MSTP 进程 


退出 MSTP 进程 视图 ， 返 回 系统 视图 





interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
gigabitethernet 1/0/1 


键入 要 加 入 MSTP 进程 的 交换 机 端口 , 进入 接口 
视图 





配置 并 激活 
MST 域 


stp binding process 
process-id 

例如 : [HUAWEI- 
GigabitEthernet1/0/1] stp 
binding process 10 


stp binding process 
process-idl 

[to process-id2 ] 
link-share 

例如 : [HUAWEI- 
GigabitEthernetl/0/1] stp 
binding process 10 to 12 


(二 选 一 ) 在 接 入 链 路 上 将 当前 接口 加 入 指定 ID 
的 MSTP 进程 中 。 如 果 加 入 MSTP 进程 的 端口 上 


存在 子 接口 ， 并 且 子 接口 上 配置 了 其 他 业务 ， 例 
如 VPLS 业务 ,此 时 可 以 在 主 接口 上 使 用 命令 stp 
vpls-subinterface enable， 当 主 接口 在 收 到 TC 报 
文 后 ， 能 够 通告 其 子 接口 及 时 刷新 MAC 表 项 和 
ARP 表 项 ， 从 而 保证 用 户 业 务 不 中 断 。 另 外 还 需 
要 在 主 接口 上 配置 Root 保护 。 
一 个 接 入 链 路 所 在 接口 只 能 加 入 一 个 MSTP 进 
程 , 若 多 次 执行 本 命令 配置 当前 接口 加 入 不 同 ID 
的 MSTP 进程 ， 以 最 后 一 次 配置 为 准 
缺 省 情况 下 ， 接 口 属于 ID 为 0 的 MSTP 进程 ， 
可 用 undo stp binding process process-id 命令 将 
当前 接口 退出 指定 ID 的 MSTP 进程 中 
(二 选 一 ) 在 共享 链 路 上 将 共享 链 路 上 的 端口 加 
入 多 个 MSTP 进程 。 此 命令 中 指定 的 端口 不 是 设 
与 接 入 环 相连 接 的 接口 , 而 是 配置 了 MSTP 多 
进程 的 设备 之 间 的 共享 链 路 上 的 接口 
对 于 存在 共享 链 路 的 进程 ， 必 须 在 多 进程 视图 下 
使 能 stp enable。 对 于 以 共享 链 路 方式 加 入 进程 
的 端口 ， 必 须 在 端口 下 使 能 stpenable 





(可 选 ) 
配置 根 桥 和 
备份 根 桥 


(可 选 》 
配置 交换 
设备 在 指定 
生成 树 实例 
中 的 优先 级 


(可 选 ) 

配置 端口 在 
指定 生成 树 
实例 中 的 
路 径 开销 


例如 : [HUAWEI- 
GigabitEthernet1/0/1] quit 


退出 接口 视图 ， 返 回 系统 视图 





stp process process-id 
例如 : [HUAWEI] stp 
process 10 


stp [ instanee instance-id ] 
root {primary |secondary} 
例如 : [HUAWEI-mst- 
process-10] stp instance 


stp [ instance instance-id ] 
priority priority 

例如 : [HUAWEI-mst- 
process-10]stp instance 

1 priority 8192 


例如 : [HUAWEI-mst- 
process-10] quit 


stp pathcost-standard 
{ dotld-1998 | dotlt | 
legacy } 

例如 : [HUAWEI]stp 
pathcost-standard 
dotld-1998 





进入 已 创建 ， 并且 配 置 根 桥 或 备份 根 桥 的 MSTP 
进程 视图 


配置 当前 设备 为 指定 MSTP 进程 下 指定 MSTI 
的 根 桥 或 备份 根 桥 。 可 选 参数 instance-id 用 
来 指定 MSTI 的 编号 ， 如 果 不 指 定 此 可 选 参 
数 ， 则 将 作为 CIST 的 根 桥 或 备份 根 桥 设备 
配置 为 根 桥 后 该 设备 优先 级 BID 值 自动 为 0, 配 
置 为 备份 根 桥 后 该 设备 优先 级 BID 值 自动 为 
4 096， 且 都 不 能 更 改 

缺 省 情况 下 , 交换 设备 不 作为 任何 生成 树 的 根 桥 
和 备份 根 桥 ， 可 用 undo stp root 命令 取消 当前 
设备 作为 指定 MSTI 的 根 桥 或 备份 根 桥 的 资格 
配置 当前 设备 在 指定 MSTP 进程 下 指定 MSTI 
中 的 桥 优 先 级 。 命 令 中 的 参数 说 明 如 下 。 

(1) instance-id: 可 选 参数 ， 用 来 指定 MSTI 的 
编号 ， 如 果 不 指定 此 可 选 参数 ， 则 将 配置 当前 设 
备 在 CIST 中 的 桥 优 先 级 

(2) prioritw: 指定 当前 设备 的 桥 优先 级 ， 取 值 范围 是 
0 一 61 440， 步 长 为 4096， 即 仅 可 以 配置 16 个 优先 
级 取 值 ， 如 0、4 096、8 192 等 ， 不 能 随便 设 。 优 先 
级 值 越 小 ， 则 优先 级 越 高 , 越 能 成 为 根 桥 或 备份 根 桥 
缺 省 情况 下 ， 交 换 设备 的 桥 优先 级 值 为 32 768， 
可 用 undo [ instance instance-id ] stp priority 命 
令 恢复 交换 机 的 桥 优先 级 为 缺 省 值 

【注意 】 如 果 己 执行 了 上 步 命令 将 当前 交 撞 机 作 
为 根 桥 或 备份 根 桥 , 则 在 需要 改变 当前 设备 的 优 
先 级 时 震 先 执行 undo stp [ instance instance-id ] 
root 去 使 能 根 交换 设备 或 者 备份 根 交接 设备 功 
能 ， 然 后 执行 本 命令 配置 新 的 优先 级 数值 


退出 MSTP 进程 视图 ， 返 回 系统 视图 


配置 端口 路 径 开 销 缺 省 值 的 计算 方法 , 命令 中 的 
选项 说 明 参 见 表 8-19 中 第 11 步 的 说 明 





interface interface-tfype 
interface-number 

例如 ; [HUAWEIlinterface 
GigabitEthernet 1/0/2 


例如 : [HUAWEI- 
GigabitEthernetl/0/2]jstp 
binding process 10 


进入 要 参与 生成 树 计 算 , 配置 路 径 开销 的 端口 的 
接口 视图 


将 当前 端口 加 入 指定 MSTP 进程 中 





Stp [ process process-id ] 
[ instance instance-id ] 
Cost cost 

例如 : [HUAWEI- 
GigabitEthemetl/0/2]stp 
instance 1 cost 200 


stp [ process process-id ] 
| instance instance-id | 
port priority priority 
例如 [HUAWEI- 
GigabitEthernet}/0/2] stp 
process 10 instance 1 
port priority 64 


设置 当前 端口 在 指定 MSTP 进程 下 指定 生成 树 
实例 中 的 路 径 开销 值 ， 用 于 桥 的 根 端口 选举 ， 
值 越 大 ， 优 先 级 越 低 。 命令 中 的 参数 说 明 如 下 。 
(1) instance-id: 可 选 参数 ， 指 定 要 设 移 当 前 
端口 路 径 开 销 值 的 所 在 MSTI 编号 ， 如 果 不 指 
定 此 参数 ， 则 为 在 CIST 中 配置 该 端 电 的 路 径 
开销 值 
(2) cost: 设置 当前 端口 在 指定 MSTI 中 的 路 径 开 销 
值 。 取 值 范围 根据 所 采用 的 计算 方法 的 不 同 而 不 同 ， 
> 使 用 华为 的 私有 计算 方法 时 参数 cost 的 取 值 
范围 是 1 一 200 000 
> 使 用 IEEE 802.1d 标准 方法 时 参数 cost 的 取 
值 范围 是 1 一 65 535 
使 用 IEEE 802.1t 标准 方法 时 参数 cost 的 取 
值 范围 是 1 一 200 000 000 
缺 省 情况 下 ， 端 口 的 路 径 开 销 值 为 接口 速率 对 
应 的 路 径 开 销 缺 省 值 ， 可 用 undo stp [ instance 
instance-id ] cost 命令 恢复 当前 接口 在 指定 
MSTI 中 的 路 径 开销 为 缺 省 值 。 当 采用 华为 私有 
计算 方法 时 缺 省 值 参见 表 8-5 
【 说明 】 在 存在 环 路 的 网 络 环境 中 ， 对 于 链 路 速率 
值 相对 较 小 的 接口 , 建议 将 其 路 径 开 销 值 配置 相对 
较 大 ， 以 使 其 在 生成 树 算法 中 被 选举 成 为 阻塞 端 
口 , 阻塞 其 所 在 链 路 ， 因 为 开销 值 越 大 的 接口 越 将 
成 为 阻塞 端口 
配置 当前 端口 在 指定 MSTP 进程 下 指定 生成 树 
实例 中 的 优先 级 , 参与 指定 端口 的 选举 。 命 令 中 
的 参数 说 明 如 下 。 
(1) instance-id: 可 选 参数 ， 指 定 要 设置 当前 端 
口 优 先 级 值 的 所 在 MSTI 编号 ， 如 果 不 指 定 此 参 
数 ， 则 为 在 CIST 中 配置 该 端口 的 优先 级 值 
(2) priority: 设置 当前 端口 在 指定 MSTI 中 的 优先 
级 ， 取 值 范围 是 0 一 240， 步 长 为 16， 不 能 随便 设 
日 优先 级 值 越 小 ， 优 先 级 越 高 ， 越 能 成 为 指定 
口 
缺 省 情况 下 ， 端 口 的 优先 级 取 值 是 128， 可 用 undo 
stp port priority 命令 恢复 当前 接口 的 优先 级 为 缺 省 
值 


对 所 有 概 参 与 STP 或 者 RSTP 生成 树 计 算 的 各 交换 机 端口 重复 以 上 第 12 一 第 16 步 





配置 MSTP 


例如 : [HUAWEI- 
GigabitEthemet1/0/2] quit 


stp process process-id 
例如 ; [HUAWEI] stp 
process 10 


stp tc-notify process 0 
例如 : [HUAWEI-mst- 
process-10] stp te-notify 


退出 接口 视图 ， 返 回 系统 视图 


进入 已 创建 , 要 配置 TC 通告 功能 的 MSTP 进程 
的 MSTP 进程 视图 


使 能 当前 MSTP 进程 的 TC 通告 功能 。 执行 本 命 

令 后 ,当前 MSTP 进程 在 收 到 TC 报 文 后 能 够 及 

时 通告 给 MSTP 进程 0 中 的 实例 , 以 便 使 其 及 时 

py MC 表 项 和 ARP 表 项 ， 从 而 保证 用 户 业 
i 





配置 任务 | 步骤 命令 


说 明 





stp enable 
启用 MSTP 20 | 例如 : [HUAWEI-mst- 
process-10] stp enable 


在 对 应 MSTP 进程 下 使 能 交换 机 的 MSTP 功能 
缺 省 情况 下 ，S2700/3700/9300 系列 交换 机 中 的 
STP/RSTPMSTP 功能 处 于 启用 状态 ， 可 用 undo 
stp enable 命令 去 使 能 交换 设备 上 的 
STP/RSTP/MSTP 功能 。 也 可 用 stp disable 命令 
去 使 能 交换 设备 上 的 MSTP/RSTP 功能 (在 
S2700/3700 系列 交换 机 中 仅 可 使 用 此 命令 去 使 能 
STP/RSTP/MSTP 功能 ); 在 S3700/6700/7700/9700 
系列 交换 机 中 的 MSTP 功能 处 于 禁用 状态 ， 可 用 
stp enable 或 者 undo stp disable 命令 使 能 交换 设备 
上 的 STP/RSTP/MSTP 功能 





uit 
21 例如 : [HUAWEI-mst- 
process-10] quit 


退出 MSTP 进程 视图 ， 返 回 系统 视图 





(可 选 ) 
配置 端口 的 stp converge 
收敛 方式 { fast | normal } 


iD 
iD 


例如 ，[HUAWEH stp 
converge fast 














8.6.5 配置 影响 MSTP 拓 扑 收敛 的 参数 























之 前 ， 需 完成 上 节 介 绍 的 MSTP 基 本 功能 配置 。 





整个 影响 MSTP 拓 扑 收 敛 的 参数 配置 与 RSTP 中 的 参数 配置 极其 相似 ， 主 要 也 是 网 络 直 径 、 超 时 时 间 、 
定时 器 、 影 响 带 宽 的 最 大 连接 数 、 端 口 的 链 路 类 型 、 端 口 











BPDU 报 文 过 滤 功 能 等 ， 与 RSTP 中 的 配置 不 同 的 只 是 

















配置 MSTP 多 生成 树 的 收敛 方式 ,命令 中 的 选项 
说 明 如 下 。 
(1) fast: 二 选 一 选项 , 指定 采用 快速 方式 , ARP 
表 将 需要 更 新 站 直接 删除 

(2) normal: 选项 ， 指 定 采 用 普通 模式 ， 
仅 将 ARP 表 中 需要 更 新 的 表 项 快速 老化 
缺 省 情况 下 ,端口 的 STP/RSTP/MSTP 收敛 方式 
为 normal， 可 用 undo stp converge 命令 恢复 
STP/RSTP/MSTP 收敛 方式 为 缺 省 值 。 建 议 选择 
normal 收敛 方式 。 若 选择 fast 方式 , 频繁 的 ARP 
表 项 删除 可 能 会 导致 设备 CPU 占用 率 高 达 
100%， 报 文 处 理 超时 导致 网 络 振荡 




























配置 合适 的 影响 MSTP 拓 扑 收 敛 的 参数 来 实现 最 快速 度 的 拓扑 收敛 。 在 配置 MSTP 影 响 拓扑 收敛 的 参数 





的 最 大 发 送 速 率 、 执 行 MCheck 操 作 、 边 缘 端 口 和 














原来 在 系统 视图 中 的 配置 现在 需要 在 对 应 的 MSTP 进 
程 视图 下 进行 配置 ， 除 了 在 全 局 模式 下 配置 边缘 端口 和 BPDU 报 文 过 滤 功 能 ， 参 见 8.4.5 节 表 8-9 。 


另外 ， 在 MSTP 中 还 可 配置 MST 域 内 生成 树 的 最 大 跳 数 。 在 MST BPDU 中 包含 一 个 记录 该 BPDU 剩 余生 
存 跳 数 (CIST Remaining Hops) 字段 ， 参 见 8.5.6 节 表 8-15。MST 域 内 生成 树 的 最 大 跳 数 决定 了 生成 树 的 网 





络 规模 大 小 ， 从 而 控制 生成 树 的 网 络 规模 。 
剩余 生存 跳 数 的 计算 方法 如 下 。 





(1) 根 桥 设备 发 送 的 BPDU 的 剩余 生存 跳 数 为 MST 域 的 最 大 跳 数 。 
(2) 非 根 桥 设备 发 送 的 BPDU 的 剩余 生存 跳 数 为 MST 域 的 最 大 跳 数 减 去 本 桥 设 备 距 根 桥 设 备 的 跳 数 。 
(3) 如 果 交 换 设 备 收 到 的 BPDU 中 携带 的 剩余 生存 跳 数 为 0， 则 交换 设备 将 该 BPDU 和 技 弃 。 配 置 MST 域 


























的 最 大 跳 数 的 方法 是 在 对 应 MSTP 进 程 视 图 或 系统 视图 下 《〈 在 S2700/3700 系 列 交换 机 中 仅 本 
置 ) 使 用 stp max-hopshop 命 令 进行 配置 ， 取 值 范 围 为 1 一 40 的 整数 。 缺 省 情况 下 ，MST 域 内 生成 树 的 最 大 
跳 数 为 20， 可 用 undo stp max-hops 命 令 恢 复 MST 域 内 生成 树 的 最 大 跳 数 为 和 


















































的 MSTP 进 程 中 进行 。 
























































[在 系统 视图 下 配 





























决 省 值 。 但 本 配置 仅 需 要 在 ID 非 0 





【示例 1 】 配置 MST 域 内 所 有 生成 树 的 最 大 跳 数 为 35。 





<HUAWEI>system-view 
[HUAWEI] stp max-hops 35 














【示例 2 】 配 置 MST 域 内 MSTP 进 程 10 中 的 所 有 生成 树 的 最 大 跳 数 为 35。 


























<HUAWEI>system-view 
[HUAWEI] stp process 10 
[HUAWEI-mst-process-10] stp max-hops 35 


8.6.6 配置 MSTP 保 护 功能 





MSTP 也 支持 RSTP 所 有 的 保护 功能 ， 包 括 BPDU 保 护 功 能 、 防 TC-BPDU 报 文 攻击 保护 功能 、Root 保护 
功能 和 环 路 保护 功能 ， 参 见 8.4.6 节 介 绍 。 另 外 ，MSTP 还 提供 了 特有 的 共享 链 路 保护 功能 。“ 共 享 链 路 保 


护 功 能 "用 在 交换 设备 双 归属 接 入 网 络 的 场景 中 。 当 共享 链 路 出 现 故 障 时 ， 通 过 共 




















享 链 路 保护 功能 ， 使 本 设 





备 的 工作 模式 强制 转换 为 RSTP， 配 合 使 用 根 保护 功能 ， 可 以 避免 网 络 环 路 。 用 户 可 根据 实际 环境 任 选 其 中 





一 个 或 多 个 保护 功能 配置 。 有 具体 配置 步 又 如 表 8-20 所 示 。 


配置 BPDU 
保护 功能 











表 8-20 RSTP 保 护 功能 的 配置 步骤 


nie 
例如 : <HUAWEI> system-view 


进入 系统 视图 





stp process process-id 
例如 : [HUAWEI stp process 10 


进入 要 配置 BPDU 保护 功能 的 MSTP 进程 的 
STP 进程 视图 





stp bpdu-protection 
例如 : [HUAWEI-mst-process-10] 
stp bpdu-protection 


配置 边缘 端口 的 BPDU 保护 功能 ， 其 他 说 明 
参见 8.4.6 节 表 8-11 的 第 2 步 





配置 3 
TC-BPDU 
报 文 攻击 
保护 功能 


配置 端口 
的 Root 
保护 功能 


stp tc-protection 

例如 : [HUAWEI-mst-process-10] 
stp tc-protection 

stp tc-protection threshold 
threshold 

例如 : [HUAWEI-mst-process-10] 
stp tc-protection threshold 10 


使 能 交换 设备 在 当前 MSTP 进程 下 对 TC 类 
型 BPDU 报 这 其 他 说 明 参 见 
8.4.6 节 表 8-11 的 第 3 步 

配置 交换 设备 在 当前 A 下 在 收 到 TC 
类 型 BPDU 报 文 后 ， 单 位 时 间 内 处 理 TC 类 
型 BPDU 报 文 , 并 立即 刷新 转发 表 项 的 阔 值 ， 
其 他 说 明 参 见 8.4.6 节 表 8-11 的 第 4 步 





quit 

例如 : [HUAWEI-mst-process-10] 
quit 
interface interface-type 
interface-number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 





退出 MSTP 进程 视图 ， 


返回 系统 视图 


进入 指定 端口 的 进口 视图 





stp binding process process-id 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] stp 
binding process 10 


将 端口 绑 定 到 指定 的 MSTP 进程 ， 步 又 仅 在 
需要 把 接口 绑 定 到 ID 非 0 进程 时 配置 。 当 接 
属于 为 0 的 进程 ， 可 对 过 本 步 ， 楼 进 
入 下 一 步 








stp root-protection 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] stp 





root-protection 





置 以 上 指定 端口 (只 能 在 指定 端口 下 配置 ) 
的 Root 保护 功能 ， 其 他 说 明 参 见 8.4.6 节 表 
8-11 的 第 6 步 








命令 


( 续 表 ) 


说 明 

















配置 端口 
的 环 路 保 
护 功能 


配 配置 共享 
链 路 保护 
功能 



















: [HUAWEI- 
GigabitEthernet0/0/1] quit 
interface interface-type 
interface-number 

川 如 : [HUAWEI]interface 
igabitethernet 0/0/2 
oop-protection 

: [HUAWEI- 
GigabitEthernet0/0/2]stp 
loop-protection 


: [HUAWEI- 
GigabitEthernet0/0/2] quit 





退出 以 上 指定 端口 的 接口 视图 ， 
视图 





返回 系统 





进入 根 端口 或 者 Alternate 端 

























配置 交换 设备 根 端 口 或 Alternate 端口 的 环 路 
保护 功能 ， 不 能 在 指定 端口 下 配置 ， 其 他 说 
明 参 见 8.4.6 节 表 8-11 的 第 9 步 









退出 接口 视图 ， 返 回 系统 视图 





stp process process-id 
: [HUAWEI] stp process 10 


进入 要 配置 BPDU 保护 功能 的 MSTP 进程 的 
STP 进程 视图 











ink-share-protection 
: [HUAWEI-mst-process-10] 
stp link-share-protection 








8.6.7 配置 MSTP 支 持 和 其 他 厂商 设备 互通 的 参数 








使 能 共享 链 路 保护 功能 。 本 步骤 仅 需 要 在 ID 
韭 0 的 MSTP 进程 中 配置 系统 参数 时 执行 

因为 S2700/3700/5700LI 系列 交换 机 不 支持 
MSTP 多 进程 ， 所 以 不 支持 本 项 配置 





为 了 实现 与 其 他 厂商 设备 的 互通 ， 需 要 在 华为 公 
通 。 包 括 以 下 几 项 配置 任务 。 


(1) 配置 端口 Proposal/Agreement 机 制 的 迁移 方式 。 与 RSTP 一 样 ， 在 人 1 
也 支持 增强 模式 和 普通 模式 两 种 端口 























Proposal/Agreement 机 4 


司 运 行 MSTP 的 设备 上 配置 一 些 参数 ， 以 确保 通信 畅 





趾 的 迁移 方式 ， 




















为 S 系 列 交换 机 的 MSTP 协 议 中 
\ 体 参见 8.4.7 节 介绍 。 


(2) 配置 端口 收发 MSTP 协议 的 报 文 格式 。MSTP 协议 报 文 存在 两 种 格式 ， 一 种 为 dotls， 即 
是 华为 私有 legacy 报 文 格 式 。 配 置 时 ， 可 以 指定 报 文 的 格式 ， 也 可 以 配 


IEEE802.1s 规 定 的 报 文 格式 ， 另 一 种 
置 MSTP 协 议 报 文 格式 自 适 应 的 功能 




















文 格式 ， 使 报 文 格式 与 对 端 匹 配 。 

(3) 使 能 摘要 监听 功能 。 当 华为 设备 与 其 他 厂商 的 设备 互 连 时 ， 在 域名 、 修 订 级 别 、VLAN 实 例 映 射 
表 全 都 一 致 的 情况 下 ， 由 于 双方 BPDU 报 文 密 钥 不 一 致 ， 会 导致 两 台 设 备 不 能 正常 互通 ， 在 这 种 情况 下 ， 需 
要 在 交换 设备 上 使 能 摘要 监听 功能 。 可 在 MST 域 中 的 交换 设备 上 通过 配置 实现 华为 设备 的 BPDU 报 文 密 钥 与 












































， 即 根据 收 到 的 MSTP 协 议 报 文 格式 自动 切换 接口 

















其 他 厂商 设备 的 BPDU 报 文 密 钥 一 致 。 
以 上 三 项 配置 任务 的 





表 8-21 支持 与 其 他 三 商 


体 配 置 步 又 如 表 8-21 所 示 。 



































设备 互通 的 参数 配置 步骤 




















命令 


说 明 








配置 任务 | 步 又 | 


system-view 
例如 : <HUAWEI> system-view 





进入 系统 视图 








配置 端口 | 
P/A 机 制 的 


迁移 方式 










interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
gigabitethernet 0/0/1 


键入 与 其 
接口 视图 










他 厂商 设备 直接 相连 的 端口 ， 进 入 




































配置 任务 | 步骤 命令 说 明 
配置 端口 stp no-agreement-check 配置 端口 使 用 普通 的 快速 迁移 方式 ， 缺 省 情 
且 况 下 ， 端 口 使 用 增强 的 快速 迁移 机 第 
P/A 机 制 的 3 例如 : [HUAWEL 况 下 ， 端口 使 用 增强 的 快速 迁移 机 制 ， 可 用 
迁移 方式 GigabitEthernet0/0/1]stp undo stp no-agreement-check 命令 配置 当前 
no-agreement-check 接口 使 用 增强 的 快速 迁移 机 制 
配置 端口 Mitomplianee 配置 端口 协议 报 文 格式 。 缺 省 情况 下 , MSTP 
MSTB | | A 报 文 收发 格式 为 auto 模式 。 如果 直 连 的 接口 
协议 的 Gi abitEthernetO/0/1]st 上 一 端 配 置 dotls, 而 男 一 端 配 置 legacy， 是 
报 文 格式 ee Ne b 不 能 协商 成 功 的 
stp config-digest-snoop 
使 能 摘要 例如 : [HUAWEI- 证 全 二 二 本 本 让 疝 让 浊 
监听 功能 | ”| GigabitEthernet0/0/1]stp 使 能 端口 上 配置 摘要 监听 的 功能 
config-digest-snoop 
8.6.8 MSTP 功 能 配置 示例 








支持 的 MSTP 协 议 报 


( 续 表 ) 


本 示例 拓扑 结构 如 图 8-37 所 示 ，SwitchA、SwitchB、SwitchC 和 SwitchD 都 运行 MSTP。 它 们 彼此 相连 形 
成 了 一 个 环 网 ， 因 为 在 SwitchA 与 SwitchB 之 间 ， 以 及 SwitchC 与 SwitchD 之 间 都 存在 元 余 链 路 〈 本 来 这 些 链 


路 都 是 可 以 不 要 的 ) 。 为 实 
置 了 两 个 MSTI， 即 MSTIL 和 MSTI2 。 

















1. 配置 思路 分 析 





(1) 在 四 








台 交 换 机 创建 一 个 相 





MSTI2) ， 它 1 


VLAN 了 映射 到 MSTI2 中 。 


门 的 生成 树 拓扑 参见 图 





同 的 MST 域 ， 然 后 在 这 个 MST 域 中 
8-37。 把 ID 号 为 2 一 20 的 VLAN 了 映射 到 MSTI1 中 ， 把 ID 号 为 11 一 20 的 











现 VLAN2~VLAN10 和 VLAN11~VLAN20 的 流量 负载 分 担 ， 采 | 


























MSTP 协 议 配 


创建 两 个 MSTI (MSTI1 和 


VLAN 通 
MSTPH 


MSTI2， 然 后 创建 I 
射 。 并 激活 





MSTII1: 


SwitchA SwitchB 
GEO/O/1 | | GEO/0/1 
1 OO Root Switch:SwitchA 
GE0O0/3 |! SE 
GE0/02 ma GE0/03 x Blocked port 
SwitchC GE0/0/2 SwitchD 
。 3 MSTI2: 
GEO/0/1 GEO/0/1 
©O RootSwitch:SwitchB 
xX 


VLAN2~10 





区 














(2) 为 了 实现 两 个 MSTI 无 二 层 环 路 ， 在 MSTI1 中 阻 中 
SwitchC 上 的 GE0/0/2 端 口 。 


8-37 MSTP 配 





(3) 配置 MSTI 的 根 桥 为 SwitchA，MSTI2 的 术 























(4) 最 后 在 这 台 交 换 机 上 启用 MSTP 协 议 ， 使 


有 











民 桥 为 SwitchB， 这 样 就 实现 了 MSTI19 
VLAN10 和 MSTI2 中 的 VLAN11~VLAN20 的 流量 通过 上 行 两 条 链 路 进行 负载 分 担 。 


Blocked port 
一 > MSTII 


VLAN]11~20—> MSTI2 


























置 示例 























以 上 配置 生效 。 





E 了 SwitchD 上 的 GE0/0/2 端 口 ， 在 MSTI2 中 阻塞 了 


的 VLAN2 一 











(5) 为 了 确保 两 个 MSTI 中 的 根 桥 不 会 发 生变 








(6) 在 各 交换 机 上 创建 ID 号 为 2 一 20 的 共 19 个 VLAN ， 丁 





化 ， 分 别 在 SwitchA 和 SwitchB 两 指定 端 





J Hi 
LU 




















各 链 路 间 端 























































































































千 


是 为 了 预防 环 路 的 发 





本 


的 。 











过 。 之 所 以 要 把 VLAN 的 创建 与 配置 放 在 最 后 ， 就 

ph 议 前 创建 了 这 些 VLAN， 肯 定 会 发 生 二 层 环 路 的 ， 也 起 不 到 负载 分 担 的 目 
2. 具体 配置 步骤 
根据 以 上 配置 思路 ， 下 面具 体 介绍 它们 的 配置 步骤 。 





























(1) 在 4 台 交 ] 





DD 为 2~10 的 VLAN 了 映射 到 MSTI1 
MST 域 配置 。 
SwitchA 上 的 MST 域 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 


[SwitchA] stp region-configuration 



































[SwitchA-mst-region] region-name RG1 
[SwitchA-mst-region] instance 1 vlan 2 to 10 
[SwitchA-mst-region] instance 2 vlan 11 to 20 
[SwitchA-mst-region| active region-configuration 
[SwitchA-mst-region] quit 

SwitchB 上 的 MST 域 配置 : 





换 机 上 分 别 创建 一 个 相同 的 MST 域 〈 域 名 假设 为 RG1) 、 两 个 多 生 树 实例 MSTI1 和 
的 映射 ， 创 建 ID 为 11 一 20 的 VLAN 了 映射 到 MSTI2 的 英 





LI 



































的 类 型 ， 并 允许 对 应 的 
因为 如 果 在 启用 






































<HUAWEI>system-view 

[HUAWEI] sysname SwitchB 

[SwitchB] stp region-configuration 
[SwitchB-mst-region] region-name RG1 
[SwitchB-mst-region] instancel vlan 2 to 10 
[SwitchB-mst-region] instance2 vlan 11 to 20 
[SwitchB-mst-region] active region-configuration 
[SwitchB-mst-region] quit 
SwitchC 上 的 MST 域 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchC 























[SwitchC] stp region-configuration 
[SwitchC-mst-region] region-name RG1 
[SwitchC-mst-region] instance 1 vlan 2 to 10 
[SwitchC-mst-region] instance2 vlan 11 to 20 
[SwitchC-mst-region] active region-configuration 
[SwitchC-mst-region] quit 
SwitchD 上 的 MST 域 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchD 























[SwitchD] stp region-configuration 
[SwitchD-mst-region] region-name RG1 
[SwitchD-mst-region] instance 1 vlan 2 to 10 
[SwitchD-mst-region] instance2 vlan 11 to 20 
[SwitchD-mst-region] active region-configuration 
[SwitchD-mst-region] guit 
(2) 配置 MSTI1 与 MSTI2 的 根 桥 与 备份 根 桥 。 
配置 MSTI1 的 根 桥 与 备份 根 桥 
[SwitchA] stp instancel root primary #--- 配 置 SwitchA 为 MSTI1 的 根 桥 
岂 置 switchB 为 MSTI1 的 备份 根 桥 


[SwitchB] stp instancel root secondary #--- 轨 































































































[SwitchB] stp instance2 root primary 


[SwitchA] stp instance 2 root secondary 

































































































































































































































































































































































(3) 配置 MSTI1 和 MSTI2 中 要 被 阻塞 的 端口 ， 以 便 消 除 二 层 环 路 。 

因为 本 示例 中 其 他 端口 都 是 采用 对 应 类 型 端口 的 缺 省 路 径 开销 值 ， 所 以 要 阻塞 某 端口 时 只 需要 把 它们 
的 路 径 开 销 值 配置 为 大 于 缺 省 值 即 可 。 路 径 开 销 值 越 大 ， 成 为 根 端口 的 可 能 性 就 越 小 。 

端口 路 径 开 销 值 取 值 范围 由 路 径 开 销 计算 方法 决定 ， 这 里 选择 使 用 华为 私有 计算 方法 为 例 ， 配 置 实例 
MSTI1 和 MSTI2 中 将 被 阻塞 的 端口 (分 别 为 SwitchD 中 的 GE0/0/2 和 SwitchC 中 的 GE0/0/2 端 口 ) 的 路 径 开 
销 值 为 20 000〔 千 兆 以 太 网 端口 路 径 开销 值 的 缺 省 值 为 2) 。 要 求 同 一 网 络 内 所 有 交换 设备 的 端口 路 径 开销 
应 使 用 相同 的 计算 方法 。 下 面 依 次 是 SwitchA、SwitchB、SwitchC 和 SwitchD 这 4 台 交 换 机 上 端口 路 径 开 销 的 


相关 配置 。 















































[SwitchA] stp pathcost-standard legacy #--- 配 置 采 






























































j 华 为 的 私有 端口 路 径 开销 计算 方法 





[SwitchB] stp pathcost-standard legacy 

[SwitchC] stp pathcost-standard legacy 

[SwitchC] interfacegigabitethernet 0/0/2 

[SwitchC-GigabitEthernet0/0/2] stp instance 2 cost 20000”#--- 将 端口 GE0/0/2 在 实例 MSTI2 中 的 路 径 开销 
值 配置 为 20000 

[SwitchC-GigabitEthernet0/0/2] quit 

[SwitchD] stp pathcost-standard legacy 





























[SwitchD] interfacegigabitethernet 0/0/2 
[SwitchD-GigabitEthernet0/0/2] stp instance 1 cost 20000 
[SwitchD-GigabitEthernet0/0/2] quit 

(4) 在 4 台 交 换 机 上 全 局 使 能 MSTP， 使 以 上 MSTP 配 置 生效 ， 消 除 二 层 环 路 。 
[SwitchA] stp enable 
[SwitchB] stp enable 
[SwitchC] stp enable 
[SwitchD] stp enable 

(5) 将 与 终端 PC 相连 的 端口 去 使 能 MSTP。 
[SwitchC] interface gigabitethernet 0/0/1 
[SwitchC-GigabitEthernet0/0/1] stp disable 
[SwitchC-GigabitEthernet0/0/1] quit 
[SwitchD] interfacegigabitethernet 0/0/1 
[SwitchD-GigabitEthernet0/0/1] stp disable 
[SwitchD-GigabitEthernet0/0/1] quit 

(6) 在 两 实例 的 根 桥 设备 的 指定 端口 上 配置 根 保护 功能 。 
[SwitchA] interfacegigabitethernet 0/0/1 














































































































[SwitchA-GigabitEthernet0/0/1] stp root-protection 

[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchB] interfacegigabitethernet 0/0/1 

[SwitchB-GigabitEthernet0/0/1] stp root-protection 

[SwitchB-GigabitEthernet0/0/1] guit 

(7) 最 后 在 各 交换 机 上 创建 ID 号 为 2 一 20 的 共 19 个 VLAN， 然 后 把 4 台 交 换 机 间 的 直 连 链 路 的 端口 配置 

为 Trunk 类 型 ， 并 允许 这 19 个 VLAN 通 过 。 把 连接 PC 的 链 路 端口 设置 为 Access 类 型 ， 加 入 对 应 的 VLAN。 有 
关 VLAN 的 具体 创建 和 配置 方法 参见 本 书 第 6 章 。 

SwitchA 上 的 配置 : 

[SwitchA] vlan batch 2 to 20 

[SwitchAj] interfacegigabitethernet 0/0/1 

[SwitchA-GigabitEthernet0/0/1] port link-type trunk 



























































































































































[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 20 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchAj] interface gigabitethernet 0/0/2 


[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 20 
[SwitchA-GigabitEthernet0/0/2] quit 

SwitchB 上 的 配置 : 
[SwitchB] vlan batch 2 to 20 

[SwitchB] interface gigabitethernet 0/0/1 
[SwitchB-GigabitEthernet0/0/1] port link-type trunk 
[SwitchB-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 to 20 
[SwitchB-GigabitEthernet0/0/1] quit 

[SwitchB] interface gigabitethernet 0/0/2 
[SwitchB-GigabitEthernet0/0/2] port link-type trunk 
[SwitchB-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 20 
[SwitchB-GigabitEthernet0/0/2] quit 

SwitchC 上 的 配置 : 
[SwitchC] vlan batch 2 to 20 

[SwitchC] interface gigabitethernet 0/0/1 












































[SwitchC-GigabitEthernet0/0/1] port link-type access 
[SwitchC-GigabitEthernet0/0/1] port default vlan 2 
[SwitchC-GigabitEthernet0/0/1] quit 

[SwitchC] interface gigabitethernet 0/0/2 
[SwitchC-GigabitEthernet0/0/2] port link-type trunk 
[SwitchC-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 20 
[SwitchC-GigabitEthernet0/0/2] quit 

[SwitchC] interface gigabitethernet 0/0/3 
[SwitchC-GigabitEthernet0/0/3] port link-type trunk 
[SwitchC-GigabitEthernet0/0/3] port trunk allow-pass vlan 2 to 20 
[SwitchC-GigabitEthernet0/0/3] guit 

SwitchD 上 的 配置 : 
[SwitchD] vlan batch 2 to 20 

[SwitchD] interfacegigabitethernet 0/0/1 
[SwitchD-GigabitEthernet0/0/1] port link-type access 
[SwitchD-GigabitEthernet0/0/1] port default vlan 11 
[SwitchD-GigabitEthernet0/0/1] quit 

[SwitchD] interface gigabitethernet 0/0/2 


























[SwitchD-GigabitEthernet0/0/2] port link-type trunk 
[SwitchD-GigabitEthernet0/0/2] port trunk allow-pass vlan 2 to 20 
[SwitchD-GigabitEthernet0/0/2] quit 

[SwitchD] interface gigabitethernet 0/0/3 
[SwitchD-GigabitEthernet0/0/3] port link-type trunk 
[SwitchD-GigabitEthernet0/0/3] port trunk allow-pass vlan 2 to 20 


[SwitchD-GigabitEthernet0/0/3] quit 
经 过 以 上 配置 ， 在 网 络 计 算 稳 定 后 可 使 用 以 下 display 命令 验证 配置 结果 。 如 在 SwitchA 上 执行 display 
stp brief 命 令 可 查看 端口 状态 和 端口 的 保护 类 型 ， 结 果 如 下 。 从 中 可 以 看 到 ， 在 MSTI1 中 ， 由 于 SwitchA 是 根 
桥 ， 其 GE0/0/2 和 GE0/0/1 端 口 成 为 指定 端口 (其 中 在 GE0/0/1 端 口上 配置 了 根 保护 ); 在 MSTI2 中 ，SwitchA 
为 非 根 桥 ， 其 GE0/0/1 端 口 成 为 指定 端口 ， 端 口 GE0/0/2 端 口 成 为 根 端口 。 符 合 本 示例 中 两 MSTI 生 成 树 拓扑 
[SwitchA] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING “ROOT 
GigabitEthernet0/0/2 DESI FORWARDING NONE 
GigabitEthernet0/0/1 DESI FORWARDING ROOT 
GigabitEthernet0/0/2 DESI FORWARDING NONE 
GigabitEthernet0/0/1 DESI FORWARDING ROOT 
2 GigabitEthernet0/0/2 ROOT FORWARDING NONE 
在 SwitchB 上 执行 display stp brief 命 令 ， 结 果 如 下 。 从 中 可 以 看 出 ， 在 MSTI2 中 ， 由 于 SwitchB 是 根 桥 ， 
其 GE0/0/1 和 GE0/0/2 端 口 为 指定 端口 (其 中 在 GE0/0/1 端 口上 配置 了 根 保护 ) ; 在 MSTI1 中 ，SwitchB 为 非 根 
桥 ， 其 GE0/0/1 端 口 成 为 指定 端口 ， GE0/0/2 端 口 成 为 根 端口 ， 符 合 本 示例 中 两 MSTI 生 成 树 拓扑 要 求 。 
[SwitchB] display stp brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/1 DESI FORWARDING ROOT 
GigabitEthernet0/0/2 ROOT FORWARDING NONE 
GigabitEthernet0/0/1 DESI FORWARDING ROOT 
GigabitEthernet0/0/2 ROOT FORWARDING NONE 
GigabitEthernet0/0/1 DESI FORWARDING ROOT 
2 GigabitEthernet0/0/2 DESI FORWARDING NONE 
在 SwitchC 上 执行 display stp interface brief 命 令 ， 结 果 如 下 。 从 中 可 以 看 出 ，SwitchC 的 GE0/0/3 端 口 在 
MSTIL 和 MSTI2 中 均 为 根 端口 ， GE0/0/2 端 口 在 MSTI2 中 被 阻塞 ， 在 MSTI1 中 被 计算 为 指定 端口 ， 也 符合 本 
示例 中 两 MSTI 生 成 树 拓扑 要 求 。 
[SwitchC] display stp interfacegigabitethernet 0/0/3 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/3 ROOT FORWARDING NONE 
1 GigabitEthernet0/0/3 ROOT FORWARDING NONE 
2 GigabitEthernet0/0/3 ROOT FORWARDING NONE 
[SwitchC] display stp interfacegigabitethernet0/0/2 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/2 DESI FORWARDING NONE 
1 GigabitEthernet0/0/2 DESI FORWARDING NONE 
2 GigabitEthernet0/0/2 ALTE DISCARDING NONE 
在 SwitchD 上 执行 display stp interface brief 命 令 ， 结 果 如 下 。 从 中 可 以 看 出 ，SwitchD 的 GE0/0/3 端 口 在 
MSTI1 和 MSTI2 中 均 为 根 端口 ，GE0/0/2 端 口 在 MSTI1 中 被 阻塞 ， 在 MSTI2 中 被 计算 为 指定 端口 。 
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[SwitchD] display stp interfacegigabitethernet 0/0/3 brief 


MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/3 ALTE DISCARDING NONE 
1 GigabitEthernet0/0/3 ROOT FORWARDING NONE 
2 GigabitEthernet0/0/3 ROOT FORWARDING NONE 
[SwitchD] display stp interfacegigabitethernet0/0/2 brief 
MSTID Port Role STP State Protection 
0 GigabitEthernet0/0/2 ROOT FORWARDING NONE 
1 GigabitEthernet0/0/2 ALTE DISCARDING NONE 
GigabitEthernet0/0/2 DESI FORWARDING NONE 


8.7 STP/RSTP/MSTP 配 置 管 理 





























在 配置 好 STP、RSTP 或 者 MSTP 功 能 后 ， 可 在 任意 视图 下 通过 以 下 display 命 令 查 看 STP/RSTP/MSTP 相 
关 配 置信 息 ， 也 可 查看 拓扑 变化 相关 的 统计 信息 ， 如 果 设 备 拓扑 变化 次 数 递增 ， 则 可 以 确定 网 络 存在 振 

荡 。 还 可 在 用 户 视图 下 通过 以 下 reset 命令 清除 STP、RSTP 或 MSTP 的 统计 信息 。 因 为 STP、RSTP 和 MSTP 
都 是 生成 树 协议 ， 且 使 用 的 管理 命令 都 一 样 ， 只 是 在 输出 信息 中 仅 显 示 设 备 上 所 运行 的 对 应 生成 树 协议 信 
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(1) 使 用 display stp [ process process-id ] [ instance instance-id ] [ interface interface-type interface-number 
slot slot-id ] [brief ] 命令 可 查看 生成 树 的 状态 和 统计 信息 。 
(2) 使 用 display stp [process process-id ] [instance instance-id ] topology-change 命 令 可 查看 STP/RSTP、 
MSTP 拓 扑 变 化 相关 的 统计 信息 。 
(3) 使 用 display stp [ process process-id ] [ instance instance-id ] [ interface interface- type interface-number 
slot slot-id ] tc-bpdu statistics 命 令 可 查看 端口 TCMTCN 报 文 收发 计数 。 
(4) 使 用 display stp [ process process-id ] global 命 令 可 查看 生成 树 协 议 的 全 局 概要 信息 。 当 设备 的 端口 
较 多 时 ， 使 用 前 面 介绍 的 display stp 命 令 碍 看 生成 树 协议 时 会 显示 大 量 的 信息 ， 很 难 定位 比较 关心 的 关键 信 
息 ， 查 看 全 局 信息 不 方便 ， 使 用 前 面 介 绍 的 display stp brief 命 令 时 只 能 查看 端口 的 生成 树 状态 信息 ， 无 法 查 
看 全 局 信息 。 通 过 执行 本 命令 可 非常 方便 地 查看 生成 树 协议 的 全 局 概要 人 信息。 命令 中 的 参数 process-id 用 来 
指定 要 查看 生成 树 协议 的 全 局 概要 信息 的 MSTP 进 程 号 ， 该 命令 部 分 机 型 不 支持 ， 有 具体 可 以 参考 对 应 的 产 
品 手册 。 
(5) 使 用 display stp [ process process-id ] region-configuration [digest ] 命令 可 查看 交换 设备 上 当前 生效 
的 MST 域 配置 信息 ， 包 括 域 名 、 域 的 修订 级 别 、VLAN 与 生成 树 实例 的 映射 关系 以 及 配置 的 摘要 。 本 命令 
仅 适 用 于 MSTP 协 议 。 
(6) 使 用 display stp [process process-id ] bridge { root | local } 命 令 可 查看 桥 的 生成 树 状态 详细 信息 。 可 
选 参数 process-id 用 来 指定 要 查看 桥 的 生成 树 状态 详细 信息 的 MSTP 进 程 ID， 如 果 不 指定 此 可 选 参数 ， 则 显示 
MSTP 进 程 0 中 的 相关 信息 。 该 命令 部 分 机 型 不 支持 ， 有 具体 可 以 参考 对 应 的 产品 手册 。 
(7) 使 用 reset stp [ interface interface-type interface-number ] statistics 命 令 可 清除 生成 树 的 统计 信息 。 在 
某 些 情况 下 ， 需 要 统计 一 定时 间 内 某 接口 的 流量 信息 ， 这 时 必须 在 统计 开始 前 清除 该 接口 原 有 的 统计 信 
息 ， 使 接口 重新 进行 统计 。 当 指定 可 选 参数 interface-type interface-number 时 仅 清 除 对 应 端口 上 的 生成 树 的 统 
计 人 信息， 否则 清除 当前 设备 上 所 有 端口 生成 树 协 议 的 统计 信息 。 
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(8) 使 用 reset stp error packet statistics 命令 可 清除 生成 树 协议 的 错误 报 文 计数 。 如 果 需 要 观察 从 当 
前 时 间 开 始 的 某 段 时 间 内 生成 树 协议 的 错误 报 文 计数 ， 可 先 使 用 本 命令 清除 历史 统计 信息 。 执 行 本 命令 
后 ， 所 有 生成 树 协议 的 错误 报 文 计数 将 清 零 。 
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9.1 ACL 基 础 
9.2 ACL 配 置 
9.3 基于 ACL 的 简化 流 策略 
9.4 ACL 配 置 示 例 

9.5 自 反 ACL 

ACL 是 由 一 个 或 多 个 月 
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合 进行 报 文 过 滤 ， 以 实现 特定 的 目 

本 章 主要 介绍 华为 $ 系 列 
本 章 不 介绍 
理 方法 。 另 乡 
交换 机 端口 上 使 能 
的 高 级 ACL (包括 高 级 ACL6) 












































效果 ， 如 在 本 书 第 3 章 介 绍 的 各 种 | 


第 9 章 ACL 配 置 与 管 开 























高 级 ACL、 基 本 ACL6、 高 级 ACL6、 二 层 ACL、 用 户 
同 ， 其 中 高 级 ACL (包括 高 级 ACL6〉 所 支持 的 过 滤 参 数 最 多 ， 当 然 应 用 也 最 灵活 ， 可 以 选择 不 同 的 参数 组 
的 。 
交换 机 上 的 基本 ACL、 高 级 ACL、 二 层 ACL、 用 
基于 IPv6 协 议 的 基本 ACL6 和 高 级 ACL6) ， 以 及 这 些 ACL 在 简化 QoS 

， 在 本 章 最 后 还 将 介绍 一 种 





自 反 ACL 功 能 后 ， 交 换 机 可 以 相 
自动 生成 一 个 允许 响 




















地 址 与 目的 IP 地 址 、 源 端口 与 
换 ， 主 要 用 于 


对 内 网 资源 的 访问 。 
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9.1 ACL 基 础 


ACL (Access Control List， 访 问 控 
报 文通 过 。ACL 的 应 用 非常 广泛 且 非 常 灵活 ， 在 许多 领域 都 可 见 到 它 的 身影 ， 妇 
央 、 路 由 信息 过 滤 、QoS 流 策略 、IPSec 报 文 加 密 过 滤 、 策 略 路 
方式 〈 硬 从 


的 
控 
备 在 实现 该 功能 时 的 处 到 
访 用 。 



































9.1.1 ACL 的 分 类 及 主要 应 用 

















ACEL 的 类 型 根 和 
式 分 数字 型 ACL 和 命名 型 ACL: 仓 
时 如 果 指 定 了 一 个 名 称 ， 则 所 创 到 
ACL、 基 本 ACEL、 


























别 就 是 所 支持 的 过 滤 条 件 的 不 同 ， 有 具体 说 明 如 表 9-1 所 示 。 本 章 仅 介 
] 户 自 定义 ACL 这 四 类 ACL 的 配置 与 管 

















ACL、 二 层 ACL 和 | 
配 的 报 文 将 丢弃 ， 这 一 点 要 特别 注 
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六 内、 外 网 间 的 访问 ，3 


不 同 的 划分 规 页 





均 与 始 发 流量 ! 
目的 是 在 允许 


在 华为 系列 交换 机 中 ， 根 据 ACL 所 过 小 的 报 文 类 型 和 功能 的 不 同 又 分 为 多 种 ACL 
自 定义 ACL 等 。 这 些 ACL 所 支持 的 过 滤 参 数 各 有 不 








竺 殊 的 动态 ACL 技 术 
民 据 始 发 流量 
应 报 文通 
的 源 IP 
通过 的 同时 ， 禁 止 非法 的 乡 
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F 处 理 或 者 软 伯 


判 列 表 ) 是 一 组 报 文 过 滤 规 则 的 集 











1 可 以 有 不 同 的 分 类 。 


处 理 ) ，ACL 可 以 被 分 为 基于 硬件 的 应 








于 报 文 过 滤 的 规则 组 成 的 规则 集合 ， 通 过 在 不 同 功能 上 的 应 用 可 达到 不 同 的 应 
户 登 录 控 制 和 网 络 访问 控 于 





1， 以 及 QoS 流 策 略 、 路 由 信息 过 滤 、 策 略 
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类 型 ， 





如 基本 ACL、 























户 自 定义 ACL ( 因 篇 幅 原 天 
流 策略 方面 应 用 的 配置 与 

自 反 ACL， 以 及 其 配置 与 管理 方法 。 在 
应 用 的 TCP、UDP、ICMP 这 三 种 协议 类 
过 所 需 的 自 反 ACL。 自 反 ACL 规 则 中 的 源 IP 
地 址 与 目的 卫 地 址 、 源 端口 与 目的 端口 对 应 互 
网 用 户主 动 发 起 的 
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以 允许 或 阻止 符合 特定 条 件 
[内 /外 网 用 户 的 网 络 访问 
等 。 当 ACL 被 其 他 功能 引用 时 ， 根 据 设 
和 基于 软件 的 
















































































在 华为 5 系列 交换 机 中 ， 按 照 创建 ACL 时 的 命名 方 

















| 建 ACL 时 如 果 仅 指定 了 
EE 的 是 命名 型 ACL。 按 照 ACL 功 能 
基本 ACL6、 高 级 ACL、 高 级 ACL6、 二 层 ACL 和 
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号 ， 则 所 创建 的 是 数字 型 ACL; 创建 ACL 
的 不 同 ， 又 可 把 ACL 分 为 基于 接口 的 



































户 自 定义 ACL 这 几 类 。 它 们 的 主要 区 
绍 目前 主流 应 用 的 基本 ACL、 高 级 
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方法 。 在 华为 $ 系 列 交换 机 中 ， 没 有 与 规则 


旺 | 











表 9-1 按 功能 划分 的 ACL 类 型 





ACL 类 型 编号 范围 ”| 适用 的 |P 版 本 规则 过 沽 条 件 
ee 根据 IP 报 文 的 入 接口 定义 规则 ， 实 现 对 报 
基于 接口 的 ACL | 1000 一 19 999 IPv4&IPv6 | 文 的 匹配 过 滤 
可 使 用 IPv4 报 文 的 源 下 地 十分 | 
| 四 | 片 标记 和 时 间 段 信息 来 定义 规则 | 这 江 入 
可 使 用 TPv6 报 文 的 源 下 地 址 \ 分 | 单 
片 标记 和 时 间 段 信息 来 定义 规则 





基本 ACL6 


既 可 使 用 JPv4 报 文 的 源 IP 地 址 ， 
也 可 使 用 目的 地 址 、IP 优先 级 、 
ToS、DSCP、IP 承载 的 协议 类 型 、 
ICMP 类 型 、TCP 源 端口 /目的 端 | 过 滤 规 


高 级 ACL 


口 、UDP 源 端 口 /目的 端口 号 等 来 | 则 很 复 
定义 规则 杂 ， 但 
既 可 以 使 用 IPv6 报 文 数据 包 的 | 应 用 最 
源 地 址 ， 也 可 以 使 用 目的 地 址 、| 灵活 、 
IP 承载 的 协议 类 型 、TCP 的 源 | 最 广泛 
端口 /目的 端口 、ICMPv6 协议 

的 类 型 、ICMPv6 Code 等 来 定 

义 规则 

可 根据 IP 报 文 的 以 太 网 帧 头 信息 来 定义 规 
二 层 ACL 4 000~4999 IPv4&IPv6 则 , 如 根据 源 MAC 地 址 、 目的 MAC 地 址 、 
以 太 帧 协议 类 型 等 。 过 滤 规 则 较 简 单 

可 根据 偏 移 位 置 和 偏 移 量 从 IP 报 文中 提取 
出 一 段 内 容 进行 匹配 过 滤 , 应 用 于 一 些 特定 
的 环境 和 需求 下 , 如 要 过 滤 网 络 中 传输 的 包 
含 某 段 内 容 信 息 的 数据 报 文 


3 000 一 3 999 





高 级 ACL6 








用 户 自 定义 ACL | 5000 一 5 999 IPv4&IPv6 














说 明 
基本 ACL 和 高 级 ACL 只 对 IPv4 报 文生 效 ， 但 基本 ACL 和 基本 ACL6、 高 级 ACL 和 高 级 ACL6 对 应 的 编号 

















可 以 相同 ， 二 者 互 不 影响 。 
ACL 可 以 应 用 在 许多 方面 ， 而 且 应 用 非常 频繁 。 表 9-2 所 示 的 是 ACL 比 较 典 型 的 应 用 场景 。 




















表 9-2 ACL 的 典型 应 用 场景 


ACL 应 用 类 型 应 用 场景 


基本 ACL 和 
基本 ACL6 


设备 
高 级 ACL 和 管理 中 的 应 用 
高 级 ACL6 


设备 管理 中 ACL 的 应 用 场景 主要 包括 以 下 儿 种 。 

(1) 当 设 备 作为 FTP、TFTP 服务 器 时 ， 为 提高 其 安全 性 ， 可 以 
通过 配置 基本 ACL 和 基本 ACL6 实现 只 允许 满足 过 滤 条 件 的 客 
户 端 访 问 服务 器 

(2) 用 户 可 以 通过 基本 ACL 和 基本 ACL6、 高 级 ACL 和 高 级 
ACL6 实现 对 VTY 用 户 界面 的 呼 入 /呼出 进行 限制 

(3) 用 户 可 以 通过 基本 ACL 和 基本 ACL6 限定 指定 地 址 的 
网 管 终端 管理 设备 ， 以 及 限定 网 管 终端 管理 的 MIB 节点 ， 
可 以 增强 网 管 终端 和 被 管理 设备 使 用 SNMP 进行 通信 时 的 
安全 性 





基本 ACL 


路 由 
高 级 ACL 策略 中 的 应 用 


当 需 要 控制 路 由 设备 接收 、 发 布 的 路 由 信息 时 ， 可 以 通过 
配置 基本 ACL 和 高 级 ACL 实现 只 接收 或 发 布 满足 过 滤 条 
件 的 路 由 ， 实 现 网 络 路 由 规模 的 优化 和 网 络 的 安全 。 有 关 
路 由 方面 的 内 容 将 在 配套 图 书 《 华 为 路 由 器 学 习 指 南 》 
节 中 介绍 





基本 ACL 和 
基本 ACL6 组 播 

高 级 ACL 和 过 滤 中 的 应 用 
高 级 ACL6 


当 需 要 过 滤 组 播报 文 时 , 可 以 通过 配置 基本 ACL 和 基本 ACL6、 
高 级 ACL 和 高 级 ACL6 实现 只 接收 或 转发 满足 过 滤 条 件 的 组 播 
报 文 ， 从 而 保证 了 网 络 的 可 靠 性 和 安全 性 





基本 ACL 和 
基本 ACL6 
高 级 ACL 和 
高 级 ACL6 QoS 中 的 应 用 


用 户 自 定 义 
ACL 


当 需 要 对 不 同类 型 的 流量 进行 分 类 操作 时 ， 可 以 通过 配置 基本 
ACL 和 基本 ACL6、 高 级 ACL 和 高 级 ACL6、 二 层 ACL、 用 户 
自 定义 ACL 实现 对 满足 过 滤 条 件 的 流量 进行 QoS 流量 监管 、 
流量 整形 、 流 分 类 。 有 关 QoS 方面 将 在 下 章 具体 介绍 





基本 ACL 
高 级 ACL 安全 中 的 应 用 





9.1.2 ACL 编 号 和 命名 规则 








前 面 说 了 ，ACL 的 命名 方式 分 数字 型 ACL 和 命名 型 ACL 两 利 





























当 需 要 对 某 类 报 文 进行 处 理 ， 或 直接 丢弃 时 ， 可 以 通过 配置 基 
本 ACL、 高 级 ACL、 二 层 ACL 实现 对 攻击 本 机 的 报 文 进行 丢 
弃 或 包 过 滤 等 功能 














和 。 数字 型 ACL 就 是 用 户 在 创建 ACL 时 必须 











为 其 指定 编号 ， 系 统 将 根据 用 户 所 指定 的 编号 来 创建 不 同 的 ACL。 但 这 里 的 ACL 编号 是 不 能 随便 指定 的 ， 








一 定 要 在 对 应 类 型 的 ACL 的 编号 取 值 范围 中 ， 它 代表 了 ACL 的 类 型 。 如 基本 ACL 和 基本 ACL6 的 编号 取 值 
范围 都 是 2 000 一 2 999， 而 高 级 ACL 和 高 级 ACL6 的 编号 取 值 范围 都 是 3 000~3 999， 具 体 参 见 表 9-1。 


有 时 为 了 方便 对 具体 ACL 用 途 的 识别 ， 用 户 在 创建 ACL 时 可 以 为 ACL 指 定 一 个 名 称 ， 这 就 是 前 面 所 说 



















































































的 命名 型 ACL。 命 名 型 ACL 可 使 用 户 通 过 ACL 名 称 唯一 地 标识 一 个 ACL， 并 对 其 进行 相应 的 操作 。 但 每 个 

















ACL 最 多 只 能 有 一 个 名 称 ， 且 在 ACL 创 建 后 不 允许 | 
































] 户 修改 或 者 删除 ACL 名 称 ， 也 不 允许 为 未 命名 


的 


ACL 添 加 名 称 ， 这 点 要 特别 注意 。ACL 的 名 称 对 于 ACL 全 局 唯一 ， 但 允许 基本 ACL 与 基本 ACL6， 高 级 





ACL 与 高 级 ACL6 使 用 相同 的 名 称 。 























另外 要 注意 ， 在 指定 命名 型 ACL 时 也 可 以 同时 配置 对 应 编号 。 如 果 没 有 配置 对 应 编号 ， 系 统 在 记录 
此 命名 型 ACL 时 会 自动 为 其 分 配 一 个 数字 型 ACL 的 编号 。 所 以 命名 型 的 ACL 也 肯定 有 一 个 ACL 编 号 ， 但 数 




















字 型 ACL 却 不 会 有 对 应 的 ACL 名 称 。 


9.1.3 ACL 规 则 编号 





一 个 ACL 内 可 以 有 一 条 或 者 多 条 规则 ， 每 条 规则 都 有 自 
配 顺 序 。 且 要 求 每 个 规则 的 编号 在 整个 ACL 中 是 只 


















































ACL 规 则 编号 的 编号 规则 。 
1. 自动 分 配 规则 编号 









































让 





己 的 编号 ， 这 是 系统 在 进行 规则 匹配 的 4 
一 的 。 在 创建 规则 时 ， 可 以 人 为 地 为 每 个 规则 指定 一 个 
唯一 的 编号 ， 也 可 以 由 系统 为 其 自动 分 配 一 个 唯一 的 编号 。 当 然 ， 它 们 也 不 是 随意 编排 的 ， 下 面具 体 介 绍 


决 省 匹 





在 自动 分 配 规则 编号 时 ， 为 了 方便 后 续 在 已 有 规则 之 前 插入 新 的 规则 (用 以 控制 规则 的 匹配 顺序 ， 这 

















点 对 于 想 要 修改 ACEL 的 规则 匹 本 
的 大 小 《“ 即 相 邻 编号 之 间 的 差 值 ) 




















CL 结果 时 很 




















重要 ) ， 系 统 通常 会 在 相 邻 编 
就 称 为 ACEL 的 步 长 。 在 定义 一 条 ACL 规 则 的 时 候 ， 如 果 








号 之 间 留 下 一 定 的 空间 ， 这 个 空间 
] 户 不 指定 规则 


















































编号 ， 系 统 就 会 从 现 有 规则 中 最 大 的 ACL 规 则 号 (最 小 的 规则 号 为 0 ) 开始 ， 按 照 步 长 设置 自动 为 当前 添 














加 的 规则 分 配 一 个 大 于 现 有 规则 最 大 编号 的 最 小 编号 。 假 设 现 有 规则 中 的 最 大 规则 号 是 25， 步 长 是 5， 那 么 





系统 分 配给 新 定义 的 规则 和 
2. 插入 新 规则 时 的 规 


Ln) 


本 














则 编 
































如 果 想 要 在 原来 的 两 规则 之 间 插 入 一 条 新 的 规则 ， 则 插入 的 这 条 规则 的 编号 必须 手 
必须 位 于 原来 两 条 规则 编号 之 间 。 假 设 已 配置 好 了 4 个 规则 ， 规 则 编号 为 5、10、15、20， 此 时 如 果 用 
望 在 第 一 条 规则 之 后 插入 一 条 规则 ， 则 可 以 使 用 命令 在 5 和 10 之 间 插 入 一 条 编号 为 7 的 规则 。 




















3. 新 步 
ACL 规 由 


长 的 应 用 
上 的 步 长 既 可 采 






































ACL6 中 不 支持 手工 设 定 步 长 值 ) 。 当 步 长 改变 后 ，ACL: 





6 编号 将 


是 30。 























原来 规则 编号 为 5、 


~ 


列 。 例 如 ， 
规则 编号 变 成 2、4、6、8。 





ACL 规 则 的 编号 。 例 如 ，ACL 3001， 原 步 长 设置 为 2， 下 面 有 4 个 规则 ， 编 





当 使 用 undo step 命 令 ; 





a 














10、15、20， 当 通过 step step 命 令 〈 
各 步 长 恢复 为 缺 省 值 后 ， 设 备 将 立刻 按照 缺 省 步 长 调整 














工 指定 ， 且 其 编号 
站 项 



































j 系 统 的 缺 省 值 5， 又 可 手工 设置 《但 在 华为 $ 系 列 交换 机 中 的 基本 ACL6 和 高 级 

















的 规则 编号 会 
本 章 后 


自动 从 新 的 步 长 值 开 始 重 新 排 
看 具体 介绍 ) 把 步 长 改 为 2 后 ， 




















则 



































号 为 2>、4、6、8; 如 果 此 时 将 步 





长 恢复 为 缺 省 值 ， 则 ACL 规 则 编号 变 成 5、10、15、20， 步 长 为 5。 





9.1.4 ACEL 规 则 的 匹配 顺序 











一 个 ACL 可 以 
选项 不 
地 方 ， 
先 级 。 

华为 S$ 系列 交换 机 的 ACL 规 





























小 顺序 ) 。ACL 通过 设 























则 
列表 的 规则 进行 匹配 的 时 候 ， 由 规 贝 
置 规则 的 优 


br 


用 元 


| 多 条 “deny |permit” 语 句 组成， 每 一 条 语句 
同 ( 同 一 ACL 中 的 各 条 规则 间 都 不 可 
因此 ， 在 将 一 个 报 文 与 ACL 的 各 条 规则 进行 匹 酉 


全 相同 ) 


时 ， 就 需要 有 明确 的 匹配 顺序 来 确定 规则 执行 的 优 





ES 


草 述 一 条 规则 。 由 于 每 条 规则 中 的 报 文 匹配 
， 从 而 使 这 些 规则 之 间 可 能 存在 交叉 甚至 矛盾 的 





















































匹配 顺序 有 ” 


x 

















| 的 匹配 jl 





册 


了 


配置 顺序 ”和 “ 
设置 决定 规则 


自动 排序 两 种 。 当 将 一 个 数据 包 与 访问 控 表 
的 优先 级 〈 并 不 一 定 就 是 严格 按照 规则 号 大 


MA 
































先 级 来 处 型 


Ln) 

















(1) 配置 顺序 


J 


后 或 者 中 间 插 入 新 日 


安 昭 


日 
全 























] 户 配置 规则 纺 


























二 





匹配 。 缺 省 采用 配置 顺序 进行 匹 本 

(2) 自动 排 
配 条 件 〈《 如 协议 类 型 、 源 和 
配 符 掩 码 (wildcard， 每 位 也 是 
通配符 越 小 (“0” 的 位 数 越 多 ) ， 





















































每 一 位 ， 相 当 于 只 有 一 个 地 址 符合 
先 ” 的 顺序 相同 ， 则 匹配 该 规则 时 按 规则 编号 从 小 到 大 排列 。 











说 明 





通配符 掩 码 与 反 向 掩 码 类 似 ( 不 完全 相同 ) ， 以 点 分 十 进 制 表 示 ， 并 用 二 进 制 的 “0” 表 示 
示 “ 不 需要 进行 匹配 操作 ， 即 忽略 "， 这 恰好 与 子 网 掩 码 的 表示 方法 相反 。 另 外 通配符 ! 
比如 ，IP 地 址 192.168.1.169、 通 配 符 0.0.0.172 表 示 
网 址 为 192.168.1.x0x0xx01， 其 中 x 可 以 是 90， 也 可 以 是 1， 但 反 掩 码 却 不 能 有 这 样 的 值 。 

不 同类 型 ACL 的 “深度 优先 ”排序 规则 如 














配 操 作 ” ， “1” 表 
的 “1” 或 者 “0” 可 以 不 连续 ， 











Lo 


这: 是 按照 “深度 优先 ”原则 由 
目的 卫 地 址 范围 等 》 限 4 


匹配 条 件 ， 











但 掩 码 与 反 掩 码 必须 连续 。 


的 


本 























规则 之 间 重 复 或 矛盾 
大 小 顺序 进行 匹配 
的 规则 ， 以 修改 原来 的 规则 匹配 结果 。 因 此 ， 后 插入 的 规则 如 果 编 号 较 小 也 有 可 能 先 被 


的 情形 。 
。 我 们 可 利用 这 一 特点 在 原来 规则 前 、 

















深 到 浅 进行 匹配 。* 深 度 优 先 ” 即 根据 规则 的 精确 度 排序 ， 匹 
判 越 严 格 越 精确 ， 优 先 级 越 高 。 例 如 可 以 比较 





bh 址 的 通 











1“1” 和 “0” 组 成 ，“0” 表 示 要 精确 
则 指定 的 主机 的 范围 








就 越 小 〈 通 








匹配 的 位 , “1 表示 不 需要 匹配 的 
配 符 全 为 0 时 则 表示 要 精确 匹配 


) » 
上 中 的 


位 
bh 
































所 以 说 主机 地 址 的 通配符 为 0) ， 限 制 就 越 严 格 。 若 “深度 优 





EE 
“ 琢 安 








进行 匹 




















的 



























































9-3 所 示 。 但 











无 论 是 哪 种 匹配 顺序 ， 当 报 文 与 各 条 规则 进行 


号 





配 时 


， 一 旦 匹配 上 茶 条 规则 ， 都 不 会 再 继续 匹配 下 去 ， 系 统 将 依据 该 规则 对 该 报 文 执行 相应 的 操作 。 所 以 
说 ， 每 个 报 文 实际 匹配 的 规则 只 有 一 条 。 华 为 的 ACL 在 最 后 都 有 一 条 permit any any ， 即 允许 所 有 报 文通 
过 的 规则 ， 当 前 面 所 有 规则 都 匹配 不 上 时 将 直接 采用 最 后 这 条 规则 ， 人 允许 通过 。 




















表 9-3 各 类 型 ACL 








深度 优先 ”排序 法 则 





ACL 类 型 


“深度 优先 ”排序 规则 





基于 接口 的 ACL 


配置 了 any 的 规则 排 在 后 


面 ， 其 他 的 规则 根据 规则 编号 大 小 的 顺序 ， 小 的 优先 





基本 ACL 


(1) 先 看 规则 中 是 否 带 VPN 实例 ， 带 VPN 实例 的 规则 优先 


(2) 再 比较 源 IP 地 址 范围 
匹配 更 精确 ) 的 规则 优先 
(3) 如 果 源 瑟 地 址 范围 相 





同 ， 则 规则 编号 小 的 优先 


， 源 全 地 址 范围 小 ( 子 网 掩 码 中 “1” 位 的 数量 多 ， 





( 续 表 ) 


ACL 类 型 “深度 优先 ”排序 规则 


高 级 IPv4A CL 


' 是 否 


(1) 先 看 规则 中 
(2) 再 
(3) 如 
中 有] 
(4) 名 
地 址 范 


果 协 议 范 


果 协 议 范围 、 源 IP 地 志 
围 小 ( 子 网 掩 码 中 “1” 
果 协 议 范围 、 源 IP 寺 
号 (TCP/UDP 
果 上 述 范 围 都 村 


同 ， 则 


也 址 范围 、 
端口 号 ) 范围 ， 四 层 端 


都 相 
9 数量 


上 范 
位 上 
口号 范围 


规则 编号 小 的 优先 


带 VPN 实例 ， 带 VPN 实例 的 规则 优先 
比较 所 指定 的 协议 范围 ， 指 定 了 IP 协议 承载 的 协议 类 型 的 规则 优先 

和 相同 ， 再 比较 源 IP 地 址 范围 ， 源 IP 地 址 范围 小 ( 子 网 拖 码 
位 的 数量 多 ) 的 规则 优先 
司 ， 再 比较 目的 IP 地 址 范围 ， 
多 ) 的 规则 优先 

的 IP 地 址 范围 都 相同 ， 再 比较 四 层 端 


小 的 规则 优先 


目的 卫 





用 户 自 定义 ACL 


9.2 ACL 


单 ， 


的 时 间 段 未 配置 ， 则 整个 规则 不 能 立即 生效 ， 直 到 用 











本 节 介 绍 基本 ACL、 高 级 ACL、 二 层 ACL 和 |) 
主要 包括 以 下 几 项 配置 任务 。 














比较 二 层 协议 类 
位 的 数量 多 ) 的 规则 优先 
(2) 加 
围 小 ( 
(3) 如 
址 范 量 
(4) 如 
用 户 自 定义 ACL 规则 和 
序 进行 匹配 


掩 码 中 “1” 位 的 数目 




















果 二 层 协议 类 型 通配符 相同 ， 
i 多 ) 
果 源 MAC 地 址 范围 也 相同 ， 
小 ( 掩 码 中 “1” 位 的 数量 多 ) 指 
果 源 MAC 地 址 范围 、 目 的 MAC 地 址 范围 都 相同 ， 则 规则 编号 小 的 优先 
的 匹配 顺序 只 支持 配置 顺序 , 即 按 规则 编号 从 小 到 大 的 顺 








4 规 见 
再 比 























1. 配置 ACL 的 生效 时 间 段 (可 选 ) 





时 间 段 用 于 描述 一 个 ACL 发 生 作用 的 特殊 时 间 范 围 。 用 户 可 能 有 这 样 的 需求 ， 即 一 些 ACL 规 则 需要 在 
某 个 或 某 些 特定 时 间 内 生效 ， 而 在 其 他 时 间 段 不 生效 。 例 如 某 生 
下 班 后 则 允许 通过 指定 设备 浏览 











内 ，ACL 规 则 才能 生效 。 





口 


天 




















较 目 的 MAC 地 址 范围 ， 
规则 优先 

















位 严禁 员 了 




















时 间 段 的 配置 包括 以 下 两 种 方式 。 


(1) 相对 时 间 段 〈 周 期 时 间 段 ) : 采 / 
18:00 。 





户 配置 了 引 月 























每 个 星期 











于 


目的 时 间 段 ， 并 





型 通配符 , 通配符 大 (协议 类 型 掩 码 (type-mask) 中 “1” 


再 比较 源 MAC 地 址 范围 , 源 MAC 地 址 范 
优先 


目的 MAC 地 


] 户 自 定义 ACL 的 配置 方法 。 所 有 ACL 的 配置 任务 很 简 





[FL 上班 时 间 浏 览 非 工 作 网 站 ， 而 
乐 网 站 ， 就 可 以 对 ACL 规 则 约定 生效 时 间 段 。 这 时 用 户 就 可 以 先 配 置 一 
个 或 多 个 时 间 段 ， 然 后 通过 配置 规则 引用 该 时 间 段 ， 从 而 实现 基于 时 间 段 的 ACL 过 滤 。 但 如 果 规 则 中 引 ) 






































量 系 统 时 间 在 指定 时 间 段 








四 定时 间 段 的 形式 ， 例 如 从 星期 一 到 星期 五 的 8:00 至 


(2) 绝对 时 间 段 : 采用 从 某 年 某 月 某 日 某 时 某 分 起 至 某 年 某 月 茶 日 茶 时 某 分 结束 的 形式 ， 例 如 从 2011 











年 4 


月 28 日 10:00 起 至 2012 年 4 














2. 创建 ACL 


28 日 10:00 结 束 。 


配置 ACL 时 需要 先 创建 一 个 基本 ACL， 可 以 是 数字 型 的 ， 也 可 以 是 命名 型 的 。 如 果 是 数据 型 的 ， 其 编 
记 围 之 内 ， 如 基本 ACL 编 号 的 取 值 范围 为 2 000 一 2 999， 高 级 ACEL 的 编号 
户 自 定 义 ACEL 的 编号 取 值 范围 为 5 











号 一 定 要 在 对 应 类 型 的 ACL 编 号 
取 值 范围 为 3 000~3 999， 二 层 ACL 的 编 


























000 一 5 999， 一 定 不 能 用 错 。 
3. 配置 ACL 规 则 
ACL 通过 


















































内 容 代 

















再 创建 新 的 规则 ， 否 则 配置 结果 可 能 与 巴 








-HH 


Y 





已 
































号 取 值 范 转 


T 

















为 4000~4 99 










































































或 包含 的 关系 ， 则 要 充分 考虑 前 面 在 9.1.4 市 


说 明 























ACL 配 置 好 后 还 需要 在 对 应 位 置 或 者 功 











期 的 效果 不 同 











9， 用 

















(通过 这 种 方式 也 可 修改 原来 的 规则 ) 。 但 建议 在 编辑 一 个 已 存在 的 规则 前 ， 先 删除 旧 的 规则 ， 
。 此 外 ， 配 置 规则 时 如 果 不 
所 介绍 的 规则 匹配 顺序 ， 以 防 错误 配置 。 





















































人体 的 规则 (rule〉 所 指定 的 过 滤 条 件 来 匹配 报 文中 的 信息 ， 实 现 对 报 文 的 分 类 。 因 此 ， 创 
建 ACL 以 后 ， 需 要 根据 不 同类 型 ACL 可 以 匹配 的 参数 配置 满足 对 应 需求 的 各 条 ACL 规 则 。 

在 ACL 中 添加 新 的 规则 时 ， 不 会 影响 已 经 存在 的 规则 (但 可 能 会 改变 原 有 规则 的 匹配 顺序 ); 对 已 
经 存在 的 规则 进行 编辑 时 ， 如 果 新 配置 的 规则 内 容 与 原 规 则 内 容 存在 冲突 ， 则 冲突 的 部 分 








新 配置 的 规则 

















同 的 规则 之 间 存 在 矛盾 








能 中 应 用 ， 在 华为 系列 交换 机 中 ， 多 数 情况 下 是 通过 基于 


ACL 的 简化 流 策略 的 方式 在 交换 机 所 有 端口 /所 有 VLAN， 或 者 指定 VLAN、 指 定 端口 的 出 或 入 方向 上 应 


















































四 介绍 。 至 于 
































用 ， 具 体 将 在 本 章 后 
南 》 一 书 中 介绍 。 
9.2.1 配置 基本 ACL 











源 卫 地址， 这 是 基本 ACL 的 最 显著 特点 。 根 据 前 再 





如 表 9-4 所 示 。 























介绍 的 配置 ACL 的 三 项 任务 ， 可 得 








表 9-4 基本 ACL 的 配置 步 又 





配置 任务 | 步 又 


命令 


一 


说 明 








其 他 像 路 由 信息 过 滤 、 策 略 路 由 等 方面 的 应 用 将 在 《华为 路 由 器 学 习 指 


基本 ACL 是 应 用 于 IPv4 协 议 网 络 的 ， 且 基本 ACL 的 地 址 过 滤 信 息 中 一 定 不 会 包括 目的 IP 地 址 ， 只 包括 








的 具体 配置 步 又 











公共 配置 


步骤 


system-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





(可 选 ) 
配置 
ACL 生效 
时 间 段 





iD 


time-range time-name 
{ start-time to end-time 
days | from time! date7 
[to time2 date2 ] } 
例如 : [HUAWEI] 
time-range test 14:00 
to 18:00 off-day 








创建 一 个 指定 ACL 入 
说 明 如 下 。 

(1) time-name: 定义 
用 时 间 段 的 标识 。 为 
分 大 小 写 , 但 必须 以 训 
为 避免 混淆 ， 时 间 段 


时 间 段 


(2) start-time to end- 


才 间 段 的 时 间 范 转 
分 别 表 示 起 始 时 间 和 有 











: 效 的 时 间 段 。 命 令 中 的 参数 


-个 BG 


寺 间 段 的 名 称 ， 作 为 
1 一 32 个 字符 的 字符 串 ， 区 


文字 母 a 一 z 或 A 一 Z 开头 。 


的 名 称 不 允许 使 用 英文 单词 


all， 且 同 -名 称 时 间 段 下 面 可 以 配置 多 个 不 同 的 


time: 二 选 一 参数 ， 指 定 周 
,参数 start-time 和 end-time 
结束 时 间 , 格 式 均 为 hh:mm 
的 取 值 范围 为 0 一 23，mm 
且 结 束 时 间 必 须 大 于 起 


“start-time to end-time” 








(小 时 : 分 钟 )。hh 
的 取 值 范围 为 0 一 59， 
始 时 间 

(3) days: 与 上 面 能 

















( 续 表 ) 


(可 选 ) 
配置 
ACL 生效 
时 间 段 


创建 基本 
ACL 


time-range time-name 
{ start-time to end-time 
as | from timel datel 
[to time2 date2 ] } 
例如 : [HUAWEI] 
time-range test 14:00 
to 18:00 off-day 


acl[ number ] 
acl-number 

[ match-order 

{ auto | config } ] 
例如 : [HUAWEI] 
acl number 2100 


-起 构成 一 个 二 选 一 参数 ,指定 周期 时 间 段 在 每 周 
的 周 几 生效 。 有 如 下 输入 格式 。 
Q@ 0~6 数字 的 表示 周 日 期 ， 其 中 0 表示 星期 天 。 
此 格式 支持 输入 多 个 参数 ,各 个 值 之 间 以 空格 分 配 
加 Mon、Tue、Wed、Thu、Fri、Sat、Sun 英文 
表示 的 周 日 期 ， 分 别 对 应 星期 一 到 星期 日 。 此 格式 
支持 输入 多 个 参数 ， 各 个 值 之 问 以 空格 分 配 
加 daily 表示 所 有 日 子 ， 包 括 一 周 共 7 天 
@ off-day 表示 休息 日 ， 包 括 星 期 六 和 星期 天 
加 working-day 表示 工作 日 ， 包 括 从 星期 一 到 星期 五 
(4) timel date1: 二 选 一 参数 ， 指 定 绝对 时 间 段 的 开 
始 日 期 ， 表 示 从 某 一 天 某 一 时 间 开 始 。 它 的 表示 形 
式 为 hh:mm YYYYIMMiDD (小 时 : 分 钟 年 /月 /日 
或 hh:mm MM/DD/YYYY 《小 时 : 分 钟 月 /日 年) 
(5) time2 date2: 可 选 参数 ， 指 定 绝 对 时 间 段 的 结束 
日 期 ， 表示 到 某 一 天 某 一 时 间 结 束 。 它 的 表示 形式 也 
为 hh:mmYYYY/MM/DD 或 hh:mm MM/DD/YYYY 
缺 省 情况 下 ， 设 备 没有 配置 时 间 段 ， 可 用 undo 
time-range time-name [ start-time to end-time { days } 
&<1-7> | from timel datel [to time2 date2 ] ] 命 令 删 
除 一 个 指定 的 时 间 段 ,或 者 指定 名 称 下 的 所 有 时 间 
段 〈 当 不 选择 所 有 可 选 参数 时 ) 
使 用 编号 创建 一 个 数字 型 的 基本 
ACL， 并 进入 基本 ACL 视图 。 命 令 中 
的 参数 和 选项 说 明 如 下 。 
(1) number: 可 选项 ， 指 定 创建 数字 
型 ACL， 缺 省 也 是 数字 型 的 ， 所 以 也 
可 以 不 选择 此 可 选项 
(2) acl-nmumber: 用 来 指定 基本 ACL 
的 编号 ， 取 值 范围 为 2 000 一 2 999 
(3) match-order { auto | config }: 可 
选项 , 用 来 指定 规则 的 匹配 顺序 。 二 选 

-选项 auto 表示 按照 自动 排序 〈 即 按 
“深度 优先 ”原则 ) 的 顺序 进行 规则 匹 
配 ， 若 “深度 优先 ”的 顺序 相同 ， 则 匹 
配 规则 时 按 规则 号 由 小 到 大 的 顺序 : 二 
选 一 选项 config 表示 按照 配置 顺序 进 
行规 则 匹配 , 即 在 用 户 没有 指定 规则 编 
号 时 按 用 户 的 配置 顺序 进行 匹配 ;如果 
用 户 指定 了 规则 编号 , 则 按 规则 编号 由 
小 到 大 的 顺序 进行 匹配 。 缺 省 情况 下 ， 
规则 的 匹配 顺序 为 配置 顺序 ， 但 仅 
S7700/9300/9700 系列 交换 机 支持 
缺 省 情况 下 ,不 存在 任何 ACL, 可 用 undo 
acl {[ number ] acimwmpber | all } 命 令 删 
除 指定 的 , 或 者 所 有 基本 ACL. 删除 ACL 
时 ， 如 果 删 除 的 ACL 被 其 他 业务 引用 ， 
可 能 造成 该 业务 的 中 断 ,所 以 在 删除 ACL 
时 请 先 确认 是 否 有 业务 正在 引用 该 ACL 





使 用 名 称 创建 一 个 命名 型 的 基本 ACL, 并 

进入 基本 ACL 视图 。 命 令 中 的 参数 和 选 

项 说 明 如 下 : 

(1) acl-name: 指定 创建 的 ACL 的 名 称 ， 

为 1 一 32 个 字符 , 区 分 大 小 写 ， 且 和 需 以 英 

文字 母 a 一 z 或 A 一 Z 开始 

(2) basic: 二 选 一 选项 ， 指 定 ACL 的 类 型 为 

基本 ACL. 此 时 设备 为 其 分 机 的 ACL 编号 是 

该 类 型 ACL 可 用 编号 中 取 值 范围 内 的 最 大 
| 值 设备 不 会 为 命名 型 ACL 重负 而 编 号 
acl name fstL2001 (3) acl-mmber: 二 选 一 选项 ， 指 定 基本 

ACL 的 编号 ， 取 值 范围 为 2000 一 2 999 

(4) match-order {auto | confis }: 可 选项 ， 

用 来 指定 规则 的 匹配 顺序 .具体 说 明 同 上 一 步 

缺 省 情况 下 ， 系 统 中 没有 创建 命名 型 

ACL， 可 用 undo acl name acLnmame 米 币 

除 指定 的 命名 型 ACL 

(可 选 ) 定义 ACL 的 描述 信息 ， 主 要 目的 是 便于 理 

解 , 比如 可 以 用 来 描述 该 ACL 规则 列表 的 具体 用 途 . 

代数 text 表示 ACL 的 描述 信息 ， 为 1 一 127 个 字符 

的 字符 素 ， 也 区 分 大 小 写 

缺 省 情况 下 ，ACL 没有 描述 信息 ， 可 用 undo 

description 命令 删除 ACL 的 描述 信息 

《可 选 ) 为 一 个 ACL 规划 组 中 的 规则 编号 配置 步 长 ， 取 

值 范围 是 1 一 20 的 整数 ， 缺 省 情况 下 ， 步 长 值 为 5， 可 
basic-2100] step 8 用 wndo step 命令 用 来 恢复 规则 编号 的 步 长 为 缺 省 值 

配置 基本 ACL 的 规则 。 如 果 需 要 配置 多 个 规则 ， 可 

以 反复 执行 本 命令 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) mule-id: 可 选 参数 ， 用 来 指定 基本 ACL 规则 的 编 

号 ， 取 值 范围 为 0 一 4 294 967 294 的 整数 。 如 果 指 定 

规则 号 的 规划 已 经 存在 ， 期 会 在 旧 规则 的 基础 上 委 加 

新 定义 的 规则， 相当 于 编辑 一 个 已 经 存在 的 规划; 如 
ei 果 指 定 的 规则 号 的 规划 不 存在 ， 则 使 用 指定 的 规则 号 
{ deny | permit } 创建 一 个 新 规则 ， 并 且 技 照 规则 号 的 大 小 决定 规则 揪 
[source { sowrce-addres | 入 的 位 置 。 如 果 不 指 定 本 参数 ， 则 增加 一 个 新 规则 
5 source-wildcard | any } | 时 设备 自动 会 为 这 个 规划 分 配 一 个 规划 号 ， 规 则 号 按 
|fragment | logsing | 照 大 小 排序 。 系统 自动 分 孔 规则 号 时 会 留 有 一 定 的 空 
thme -range time-name ] | 间 ， 相 令 规 则 号 的 范围 由 上 一 步 的 step step 命令 指定 

(2) deny: 二 选 一 选项 ， 设 置 拒绝 型 欣 作 ， 表 示 拒 
例如 : [HUAWEI-acl- | 绝 符 合 条 件 的 报 文通 过 
| wy Permit 一 过” 寺 项 ,设置 帮 型 换 作 ， 表示 多 

A 3 许 符合 条 件 的 报 文通 过 

(4) source { sour-addr sour-wildcard |any }: 可 多 选 

项 ， 指 定 规划 的 源 地 址 信息 。 二 选 一 参数 sour-addr 

sour-wildcard 分别 表示 报 文 的 源 下 地 址 和 通配符 ( 通 

妃 符 是 用 米 确定 对 应 位 是 否 要 匹配 的 ， 值 为 “0” 的 

位 表示 要 匹配 ， 值 为 “1” 的 位 表示 不 需要 蕊 配 ， 当 

全 为 0 时 表示 源 下 地址 为 主机 地 址 , 表示 下 地 址 中 





( 续 表 ) 


的 每 一 位 都 需要 匹配 )， 二 选 一 选项 any 表示 任意 
源 IP 地 址 ， 相 当 于 source-address 为 0.0.0.0 或 者 
source-wildcard 为 255.255.255.255 
(5) fragment: 可 多 选项 ， 表 示 该 规则 仅 对 非 首 片 
rule [ rule-id ] 分 片 报 文 有 效 ， 而 对 非 分 片 报 文 和 首 片 分 片 报 文 无 
{ deny | permit } 效 。 如 果 没 有 指定 本 参数 ， 则 表示 该 规则 对 非 分 片 
[source { source-address | 报 文 和 分 片 报 文 均 有 效 
source-wildcard | any } (6) logging: 可 多 选项 ， 指 定 将 该 规则 匹配 的 报 文 
|fragment | logging| ”| 的 了 信息 进行 日 志 记录 
time-range time-name ] (7) time-range-name: 可 多 选项 ， 指 定 该 规则 生效 
例如 : [HUAWEI-acl- 的 时 间 段 。time-range-name 表示 时 间 段 的 名 称 ， 为 
配置 基本 basic-2100] rule permit “| 1 一 32 个 字符 的 字符 串 ， 区 分 大 小 写 ， 但 必须 以 英 
ACL 规则 Source 192.168.32.1 0 文字 母 a~z 或 A~Z 开头 











缺 省 情况 下 ， 未 配置 任何 规则 ， 可 用 undo rule 
rule-id [ fragment | logging | source | time-range ] ~ 
命令 在 对 应 ACL 视图 下 删除 指定 的 一 条 规则 或 一 
条 规则 中 的 部 分 内 容 





(可 选 ) 配置 基本 ACL 规则 的 描述 信息 。 命 令 中 的 

rule rule-id description 参数 说 明 如 下 。 

jae (1) rule-id: 指定 要 描述 的 ACL 规则 的 编号 ， 取 值 

例如 : [HUAWELacl- | 范围 为 0~4 294 967 294 的 整数 

Ce (2) description: 指定 某 规则 号 的 规则 描述 信息 。 用 

和 户 可 以 通过 这 个 描述 信息 更 详细 地 记录 规则 ， 便 于 
识别 规则 的 用 途 ， 为 1 一 127 个 字符 


使 用 在 配置 ACL 生效 时 间 段 时 ， 配 置 的 时 间 段 时 间 不 能 早 于 当前 时 间 ， 和 否则 不 会 生效 。 另 外 ， 可 以 为 

















多 个 时 间 段 配置 相同 的 时 间 段 名 称 ， 共 同 来 描述 某 个 特殊 时 间 。 通 过 名 称 来 引用 一 个 时 间 段 时 ， 如 果 该 时 
间 段 配置 了 多 个 生效 时 间 ， 生 效 原 则 为 各 周期 时 间 段 之 间 以 及 各 绝对 时 间 段 之 间 分 别 取 并 集 之 后 ， 再 取 二 
者 的 交集 作为 最 终生 效 的 时 间 范 围 。 例 如 : 时 间 段 “test* 配 置 了 三 个 生效 时 段 。 











































































































《1) 从 2013 年 6 月 1 日 00:00 起 到 2014 年 5 月 31 日 23:59 生 效 ， 这 是 一 个 绝对 时 间 段 。 

(2) 在 周一 到 周 五 每 天 8:00 到 18:00 生 效 ， 这 是 一 个 周期 时 间 段 。 

(3) 在 周 六 、 周 日 下 午 14:00 到 18:00 生 效 ， 这 是 一 个 周期 时 间 段 。 

则 “test" 最 终 将 在 以 下 时 间 内 生效 : 2013 年 6 月 1 日 起 到 2014 年 5 月 31 日 23:59 内 的 周一 到 周 五 每 天 8:00 到 






















































































18:00 以 及 周 六 和 周 日 下 午 14:00 到 18:00。 











【示例 1】 配 置 时 间 段 test， 从 2013 年 1 月 1 日 00:00 起 到 2013 年 12 月 31 日 23:59 生 效 。 
<HUAWEI>system-view 
[HUAWEI]| time-range test from 0:0 2013/1/1 to 23:59 2013/12/31 

【示例 2】 配 置 时 间 段 test， 在 周一 到 周 五 每 天 8:00 到 18:00 生 效 。 
<HUAWEI>system-view 
[HUAWEI] time-range test 8:00 to 18:00working-day 

【示例 3】 配 置 时 间 段 test， 在 周 六 、 周 日 下 午 14:00 到 18:00 生 效 。 
<HUAWEI>system-view 
[HUAWEI] time-range test 14:00 to 18:00 off-day 

【示例 4】 配 置 在 ACL 2001 中 增加 一 条 规则 ， 人 允许 源 地 址 是 192.168.32.1 的 报 文 通过 。 
<HUAWEI>system-view 
[HUAWEI] acl 2001 
[HUAWEI-acl-basic-2001] rule permit source 192.168.32.1 0 

【示例 5】 配 置 在 ACL 2001 中 删除 一 条 规则 ， 删 除 规则 5。 
<HUAWEI>system-view 

[HUAWEI] acl 2001 

[HUAWEI-ad-basic-2001] undo rule 5 



































9.2.2 配置 高 级 ACL 











的 IP 地 址 信息 、IP 承 载 的 协议 类 型 、 协 议 的 特性 (如 TCP 或 UDP 的 源 端口 、 目 的 端口 ，ICMP 协 议 的 消息 














高 级 ACL 除 了 可 以 根据 上 节 介 绍 的 基本 ACL 中 的 报 文 源 IP 地 址 进行 规则 匹配 之 外 ， 还 可 以 根据 报 文 的 




















类 型 、 消 息 码 等 ) 等 信息 进行 匹配 。 

















另外 ， 高 级 ACL 还 支持 QoS 中 所 需 的 优先 级 设置 ， 用 于 指定 符合 对 应 优先 级 的 卫 数 据 包 通过 。 当 用 户 需 
+ 


要 使 用 源 IP 地 址 、 目 的 人 地址 、 源 端口 号 、 目 的 端口 号 、 优 先 级 、 时 间 段 等 信息 对 IPv4 报 文 进行 过 滤 时 ， 














可 以 使 用 高 级 ACL。 高 级 ACL 主要 用 















































于 QoS 中 的 流 分 类 ， 因 为 通过 它 可 以 精确 地 对 流量 进行 分 类 。 




















说 明 
在 IPv4 网 络 中 ，IPv4 报 文中 有 三 种 承载 QoS 优 先 级 标签 的 方式 : 基于 二 层 的 CoS (Class of Service， 服 

















务 等 级 ) 字段 〈 即 通常 所 说 的 802.1p 优 先 级 、 基 于 IP 层 (三 层 ) 的 人 P 优 先 级 字段 ( 即 IP 优 先 级 ) 和 ToS 〈 服 
务 类 型 ) 字段 ， 以 及 基于 IP 层 (三 层 ) 的 DSCP (Differentiated Services Code Point， 差 分 服务 代码 点 ) 字段 





eh 




















( 即 DSCP 优 先 级 ) ) 。 华 为 $ 系 列 交换 机 中 的 高 级 ACL 支 持 ToS 优 先 级 、IP 优 先 级 和 DSCP 优 先 级 这 三 种 优 
级 。 具 体 参 见 本 书 第 10 章 10.1.2 和 10.1.3 节 介绍 。 



























































在 前 面 介绍 的 ACL 配 置 任务 中 ，ACL 生 效 时 间 段 的 配置 方法 与 上 节 基 本 ACL 配 置 中 的 时 间 段 配置 方法 
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四 仅 介 绍 不 同 的 高 级 ACL 创 建 和 ACL 规 则 配置 两 个 方 盏 
1. 高 级 ACL 的 创建 
在 高 级 ACL 的 创建 中 ， 同 样 可 以 创建 数字 型 的 ， 或 者 命名 型 的 ACL。 如 果 创 建 的 是 数字 型 高 级 ACL， 
则 创建 方法 与 前 面 介绍 的 基本 ACL 的 创建 方法 一 样 ， 使 用 的 也 是 acl [number ] acl-number [match-order { auto 
| config } ] 命令 ， 但 其 中 ad-number 参 数 的 取 值 范围 只 能 是 3 000 一 3 999， 同 样 [match-order { auto | config } ] 
可 选项 仅 S7700/9300/9700 系 列 交换 机 支持 。 

如 果 创 建 的 是 命名 型 高 级 ACL， 则 需要 采用 acl name acl-name {advance |acl-number } [match-order { 
auto | config } ] 命令 ， 选 择 二 选 一 选项 advance 时 表示 所 创建 的 是 命名 型 高 级 ACL， 选 择 二 选 一 参数 acl- 
number 时 ， 则 其 取 值 范围 也 是 3 000~3 999， 表 示 创 建 的 是 命名 型 高 级 ACL 。 

2. 高 级 ACL 规 则 的 配置 

高 级 ACL 规 则 的 配置 比 基 本 ACL 中 的 规则 配置 复杂 许多 ， 因 为 可 用 来 匹配 的 过 滤 条 件 参数 非常 之 多 ， 
而 且 基 本 上 是 可 同时 配置 的 。 根 据 卫 包 中 承载 的 协议 类 型 不 同 ， 在 设备 上 可 配置 提供 不 同 匹 配 条 件 参数 的 
高 级 ACL， 上 有 具体 如 下 注意 其 中 的 “*” 表 示 前 面 用 “[ ] ” 括 住 的 参数 或 选项 是 可 同时 多 选 的 ): 

《1) 当 参 数 protocol 为 ICMP 时 〈 即 要 过 滤 ICMP 协 议 报 文 时 ) ， 命 令 格式 为 : 


rule [ rule-id ] {deny |permit } {protocol-number | icmp } [destination {destination- address destination- 
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wildcard | any } | { {precedence precedence | tos tos } * |dscpdscp } | fragment | logging | icmp-type { icmp-name | 
icmp-type icmp-code } |source { source-address source-wildcard | any } | time-range time-name | ttl-expired ] * 
《2) 当 参 数 protocol 为 TCP 时 《〈 即 要 过 滤 TCP 协 议 报 文 时 ) ， 命 令 格式 为 : 

rule [ rule-id ] {deny |permit } { protocol-number | tcp } [destination {destination- address destination-wildcard 
| any } |destination-port { eq port | gt port | ltport | range port-startport-end } | { {precedenceprecedence | tos tos} * 
|dscp dscp } | fragment | logging |source { source-address source-wildcard |any } | source-port {eqport |gtport | lt port 
| range port-startport-end } | tcp-flag {ack | fin |psh | rst | syn lurg }* | time-range time-name | ttl-expired] * 

(3) 当 参 数 protocol] 为 UDP 时 《〈《 即 要 过 滤 UDP 协 议 报 文 时 ) ， 命 令 格式 为 : 

rule [ rule-id ] {deny |permit } {protocol-number ludp } [destination {destination- address destination-wildcard 
| any } |destination-port { eqport | gtport | ltport | rangeport- startport-end } | { {precedence precedence | tos tos } * 
|dscp dscp } | fragment | logging |source { source-address source-wildcard |any } | source-port { eqport |gtport | ltport 
|range port-start port-end } | time-range time-name | ttl-expired ] * 

(4) 当 参 数 protocol 为 GRE、IGMP、IP、IPINIP、OSPF 时 ， 命 令 格 式 为 : 

rule [rule-id ] {deny |permit } {protocol-number |gre | igmp | ip | ipinip |ospf } [destination {destination-address 
destination-wildcard |any } | { {precedence precedence | tos tos} * |dscp dscp } | fragment | logging | source { 
source-address source-wildcard | any } | time-range time-name | ttl-expired ] * 

缺 省 情况 下 ， 未 配置 ACL 规 则 ， 可 用 undo rule rule-id [destination |destination-port | dscp | fragment | 
logging | icmp-type | precedence | Source | Source-port | tcp-flag ltime-range | tos | ttl-expired ] * 删 除 一 个 指定 的 
ACL 规 则 。 

以 上 rule 命 令 中 的 参数 和 选项 说 明 如 表 9-5 所 示 。 


















































表 9-5 rule 命 令 参 数 和 选项 说 明 


可 选 参数 ， 用 来 指定 高 级 ACL 规则 的 编号 ， 取 值 范围 为 0 一 4 294 967 294 
的 整数 。 其 他 说 明 参 见 表 9-4 中 的 第 6 步 





二 选 一 选项 ， 表 示 拒 绝 符合 条 件 的 报 文 
二 选 一 选项 ， 表 示人 允许 符合 条 件 的 报 文 








二 选 一 选项 , 指定 ACL 规则 匹配 报 文 的 协议 类 型 为 ICMP。 也 可 以 通过 参 
数 protocol-number 采用 数值 1 表示 指定 ICMP 协议 

二 选 一 选项 ， 指 定 ACL 规则 匹配 报 文 的 协议 类 型 为 TCP。 也 可 以 通过 参 
数 protocol-number 采用 数值 6 表示 指定 TCP 协议 





: 选 一 选项 ， 指 定 ACL 规则 匹配 报 文 的 协议 类 型 为 UDP。 也 可 以 通过 参 
数 protocol-number 采用 数值 17 表示 UDP 协议 
多 选 一 选项 ， 指 定 ACL 规则 匹配 报 文 的 协议 类 型 为 GRE。 也 可 以 通过 参 
数 protocol-number 采用 数值 47 表示 UDP 协议 
多 选 一 选项 , 指定 ACL 规则 匹配 报 文 的 协议 类 型 为 IGMP.。 也 可 以 通过 参 
数 protocol-number 采用 数值 2 表示 UDP 协议 
多 选 一 选项 ， 指 定 ACL 规则 匹配 报 文 的 协议 类 型 为 IP 





source | sour-addr 
sour-wildcard | any } 


destination { dest-addr 
dest-wildcard | any } 


icmp-type { icmp-name 
liemp-type icmp-code 上 


precedenee precedence 


多 选 一 选项 , 指定 ACL 规则 匹配 报 文 的 协议 类 型 为 ipinip- 也 可 以 通过 人参 
数 protocol-number 采用 数值 4 表示 UDP 协议 

多 选 一 选项 ， 指 定 ACL 规则 匹配 报 文 的 协议 类 型 为 OSPF。 也 可 以 通过 
参数 protocol-number 采用 数值 89 表示 UDP 协议 

多 选 一 参数 ， 用 数字 表示 报 文中 封装 的 协议 类 型 ， 到 值 范围 为 1 一 255， 如 
tcp 是 6，udp 是 17，iemp 是 1，tep 是 6，udp 是 17，gre 是 47, igmp 
是 2，ipinip 是 4，ospf 是 89 

可 多 选 参数 ， 指 定 ACL 规则 的 源 IP 地 址 信息 ， 二 选 一 参数 对 sour-addr 
5our-wildcard 是 用 来 指定 源 IP 地 址 及 其 通配符 掩 码 (通配符 为 0 时 表示 源 
地 址 为 主机 IP 地 址 )， 二 选 一 选项 any 表示 为 任意 源 IP 地 址 

可 多 选 参 数 ， 指 定 ACL 规则 的 目的 IP 地 址 信息 ， 二 选 一 参数 对 
dest-addr dest-wildcard 用 来 指定 目的 IP 地 址 及 其 通配符 推 码 〈 通 本 
符 为 0 时 表示 目的 地 址 为 主机 耳 地 址 ) 二 选 一 选项 any 表示 任意 目 
的 IP 地址 

可 多 选 参数 , 指定 ACL 规则 匹配 报 文 的 ICMP 报 文 的 类 型 和 消息 码 信息 ， 


仅 在 报 文 协议 是 ICMP 的 情况 下 有 效 。 如 果 不 配置 ， 表 示 任 何 ICMP 类 型 
的 报 文 都 匹配 。 其 中 : 

(1) jemp-name: 表示 ICMP 的 消息 名 称 

(2) icemp-type: 表示 ICMP 的 消息 类 型 ， 取 值 范围 为 0 一 255 的 将 数 

(3) iemp-code: 表示 ICMP 的 消息 码 ， 取 值 范 围 为 0 一 255 的 整数 

参数 jicmp-name 的 到 值 与 参数 icmp-type 和 icmp-code 相对 应 ， 对 应 关系 
如 表 9-6 所 示 


可 多 选 参数 ， 指 定 ACL 规则 匹配 报 文 时 依据 优先 级 字段 进行 过 滤 。 它 与 
tos tos 参数 一 起 共同 构成 与 dsep dscp 组 成 的 二 选 一 参数 

参数 precedence 表示 IP 优先 级 字段 值 。 参 数 precedence 用 数字 表示 时 ， 

取 值 范围 为 0 一 7; 用 名 称 表示 时 对 应 为 routine、priority、immediate .fash、 
flash-override、critical、internet control、network control 

可 多 选 参数 ， 指 定 ACL 规则 匹配 报 文 时 ， 依 据 服 务 类 型 字段 进行 过 滤 。 它 
与 precedence precedence 参数 一 起 共同 构成 与 dsep dscp 组 成 的 二 选 一 参数 
参数 tos 表示 IP 服务 等 级 ， 用 数字 表示 时 取 值 范围 为 0 一 15 (但 只 能 是 0、 
1、2、4、8 这 五 个 数 ); 用 名 称 表示 时 对 应 为 normal、min-monetary-cost、 
max-reliability、max-throughput、min-delay 

二 选 一 参数 ， 指 定 ACL 规则 匹配 报 文 时 ， 区 分 服务 代码 点 ， 即 依据 耳 包 
中 的 DSCP 优先 级 字段 进行 过 滤 。 参 数 wep 用 数字 表示 时 ,到 值 范围 为 0 一 
63【〔 但 不 是 全 部 可 选 ， 参照 下 面 以 名 称 表 示 时 对 应 的 值 ); 用 名 称 表示 时 ， 
可 选取 afll (10)、afl2 (12)、afl3 (14)、 af21 (18)、 af22 (20)、af23 
(22)、 af31 (26)、 af32 (28)、 af33 (30)、af41 (34)、af42 (36)、 af43 
(38). csl (8)、 cs2 (16), cs3 (24)、 cs4 (32), es5 (40)、 cs6 (48)、 

cs7 (56)、default (0) 或 ef (46) 





可 多 选项 ， 指 定 ACL 规则 匹配 TCP 报 文 头 中 SYN 标志 字段 的 类 型 依次 
为 ack (010000)、 fin (000001)、psh(001000)、rst(000100)、syn(000010)) 


tcp-flag 


fack | fin | psh | rst | 和 urg (100000)。 注意 ， 括 号 中 的 数字 代表 选择 对 应 标志 位 时 的 SYN 标 


al E 志 字段 值 ， 不 用 输入 


, 可 多 选 参数 ， 指 定 ACL 规则 生效 的 时 间 段 。 参 数 time-range-name 用 来 设 
eerange ， | 置 时 间 段 的 名 称 ， 为 1 一 32 个 字符 的 字符 串 ， 区 分 大 小 写 ， 必 须 以 英文 字 
S 母 a 一 z 或 A 一 Z 开头 。 如 果 不 指定 时 间 段 ， 表 示 任 何 时 间 都 生效 


可 多 选 参数 ， 指 定 ACL 规则 匹配 报 文 的 UDP 或 者 TCP 目的 端口 ， 仅 在 
报 文 协议 是 TCP 或 者 UDP 时 有 效 。 如 果 不 指 定 ， 表 示 TCP/UDP 报 文 的 
任何 目的 端口 都 匹配 ， 其 中 : 
(1) eq port: 指定 等 于 目的 端口 
(2) gtport: 指定 大 于 目的 端口 
(3) ltport: 指定 小 于 目的 端口 
(4) range port-start port-end: 指定 目的 端口 的 范围 ，port-start 是 目的 端 
口 范围 的 起 始 端 口号 ，Portend 是 目的 端口 范围 的 结束 端口 号 
以 上 的 参数 port 用 来 指定 端口 号 ， 用 名 字 或 数字 表示 。 用 数字 表示 时 ,eq 
portslt portvport-start 和 port-end 中 的 port 的 取 值 范围 是 0~65 535; gt port 
asdonbee 中 的 port 的 取 值 范围 是 0 一 65 534 
et 用 名 称 表示 时 , TCP 端口 号 可 选取 chargen (19)、 bgp (179)、 emd (514)、 
port-end } daytime (13), discard (9)、 domain (53), echo (7), exece (512), 

finger (79), ftp (21)、ftp-data (20)、 gopher (70)、 hostname (101)、 
ire (194)、klogin (543)、 kshell (544), login (513), lpd (515)、 nntp 
(119), pop2 (109), pop3 (110), smtp (25), sunrpe (111)、tacacs (49), 
talk (517)、telnet (23)、time (37)、uucp (540)、whois (43) 或 www 
(80); UDP 端口 号 可 选取 biff (512)、bootpe (68)、bootps (67)、 discard 
(9)、dns (53), dnsix (90), echo (7). mobilip-ag (434)、mobilip-mn 
(435), nameserver (42 ) netbios-dgm (138), netbios-ns (137), netbios-ssn 
(139), ntp (123), rip (520), snmp (161), snmptrap (162), sunrpe (111)、 
syslog (514), tacacs-ds (65), talk (517), tftp (69)、time (37)、 who 
(513) 或 xdmep (177)。 注 意 ， 插 号 中 的 数字 对 应 的 端 唱 号， 不 用 输入 


Or it | 可 多 选 参 数 ， 指 定 ACL 规则 匹配 报 文 的 UDP 或 者 TCP 报 文 的 源 端 口 ， 
{eq port |gtport1lt | 仅 在 报 文 协议 是 TCP 或 者 UDP 时 有 效 。 如 果 不 指定 ， 表 示 TCP/UDP 报 


Pr 人” | 文 的 任何 源 江口 都 匹配 。 其 他 说 明 参 见 destination-port 选项 中 的 对 应 说 明 


可 多 选项 ， 指 定 将 该 规则 匹配 的 报 文 的 IP 信息 记录 日 志 


可 多 选项 ， 指 定 该 规则 是 否 仅 对 非 首 片 分 片 报 文 有 效 。 当 包含 此 参数 时 表示 
fragment 该 规则 仅 对 非 首 片 分 片 报 文 有 效 。 但 fragment 选项 不 能 跟 source-port、 
destination-port、icmp-type 和 tep-flag 参数 同时 配置 ， 否 则 会 提示 错误 信息 


可 多 选项 ， 数 据 包 可 以 依据 报 文中 的 TTL 字段 值 是 否 为 1 进行 过 滤 ， 如 
果 不 配 置 ， 表示 在 过 滤 报 文 时 不 考虑 TIL 字段 值 ， 但 
S2700/3700/5700SUS700LUS700S-LI 系列 交换 机 不 支持 本 可 选项 











表 9-6 ICMP 消 息 名 称 与 消息 类 型 和 消息 码 的 对 应 关系 


icmp-name (ICMP 消息 名 称 ) | icmp-type (ICMP 消息 类 型 ) | icmp-code (ICMP 消息 代码 ) 





ny = 
Parameter problem 


icmp-name (ICMP 消息 名 称 ) | icmp-type (ICMP 消息 类 型 ) | icmp-code (ICMP 消息 代码 ) 


Port-unreachable 3 








iD | ww 


Protocol-unreachable 





Reassembly-timeout 





Source-quench 


| 己 | 一 





Source-route-failed 








Timestamp-reply 





Timestamp-request 





Ttl-exceeded 





Fragmentneed-DFset 





Host-redirect 





Host-tos-redirect 





Host-unreachable 





Information-reply 
Information-request 15 





Net-redirect 5 





DiSeSlISlISl— W|I 一 |SoIlSo 


Net-tos-redirect 5 











Net-unreachable 3 
【示例 1】 配 置 在 ACL3000《〈 和 采用 缺 省 步 长 5) 中 增加 一 条 规则 号 为 2 的 ， 允 许 基 于 IGMP 协 议 类 型 报 文 
通过 的 规则 。 
<HUAWEI>system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] rule 2permit igmp 
【示例 2】 配 置 在 ACL3000 中 删除 上 一 示例 中 基于 ICMP 协 议 类 型 的 规则 。 
<HUAWEI>system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] undo rule 2 
【示例 3】 配 置 在 ACL3001 中 采用 规则 号 自动 分 配方 式 〈 此 时 不 用 手工 指定 规则 号 ) 增加 一 条 规则 ， 
允许 从 129.9.0.0 网 段 的 主机 向 202.38.160.0 网 段 的 主机 发 送 的 所 有 IP 报 文通 过 。 
<HUAWEI>system-view 
[HUAWEI] acl 3001 
[HUAWEI-acl-adv-3001] rule permit ip source 129.9.0.0 0.0.255.255destination 202.38.160.0 0.0.0.255 
【示例 4】 配置 在 ACL3001 中 采用 规则 号 自动 分 配方 式 〈 此 时 不 用 手工 指定 规则 号 ) 增加 一 条 规则 ， 
允许 129.9.8.0 网 段 内 的 主机 建立 与 202.38.160.0 网 段 内 的 主机 UDP 128 端 口上 建立 的 UDP 通 信 。 
<HUAWEI>system-view 
[HUAWEI] acl 3001 
[HUAWEI-acl-adv-3001] rule permit udp source 129.9.8.0 0.0.0.255 destination 202.38.160.0 0.0.0.255 
destination-porteq 128 













































































9.2.3 配置 二 层 ACL 











二 层 ACL 是 根据 报 文 的 源 MAC 地 址 、 目 的 MAC 地 址 、802.1p 优 先 级 、 二 层 协议 类 型 等 二 层 信息 进行 规 
则 匹配 、 处 理 的 。 二 层 ACL 的 序号 取 值 范围 为 4000~4 999。 有 关 802.1p 优 先 级 请 参见 本 书 第 10 章 的 10.1.2 
节 介 绍 。 
在 二 层 ACL 的 配置 任务 中 第 一 项 的 时 间 段 配置 方法 与 9.2.1 节 中 介绍 的 基本 ACL 时 间 段 配置 方法 完全 
一 样 ， 所 以 下 面 仅 介绍 二 层 ACL 的 创建 和 规则 的 配置 。 

1. 二 层 ACL 的 创建 




















































































































在 二 层 ACL 的 创建 ! 


























则 创建 方法 与 前 面 介绍 的 基本 ACL 的 创建 方法 一 样 ， 使 用 
acl-number 参 数 的 取 值 范 























| config } ] 命令 ， 但 其 











， 同 样 可 以 创建 数字 型 的 ， 或 者 命名 型 的 ACL。 如 果 创 建 的 是 数字 型 二 层 ACL， 


























吕 








围 





] 可 选项 仅 S7700/9300/9700 系 列 交换 机 支持 。 






































config } ] 命令 ， 二 选 一 选项 linkj 
其 取 值 范围 
2. 二 层 ACL 规 则 的 配置 




































































二 层 ACL 规 则 的 配置 也 比 基 本 ACL 中 的 规则 配置 要 复杂 许多 ， 可 
且 也 基本 上 是 可 同时 配置 的 。 具 体 命令 如 下 : 


























怠 日 
作 有 起 


的 也 是 acl [number ] acl-number [match-order { auto 
4000~4 999， 同 样 ，[match-order {auto | config } 


如 果 创 建 的 是 命名 型 二 层 ACL， 则 需要 采用 acl nameacl-name { link | acl-number } [match-order { auto | 
来 表示 所 创建 的 是 命名 型 二 层 ACL， 如 果 选 择 acl-number 二 选 一 参数 ， 则 
也 是 4000 一 4999， 表 示 创 建 的 是 命名 玫 





钊 一 层 ACL 。 

















来 








匹配 的 过 滤 条 件 参数 比较 多 ， 而 








rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] | 12-protocol type-value [ type-mask ] | destination- 


mac dest-mac-address [ dest-mac-mask ] | source-mac source- mac-address [ source-mac-mask ] | vlan-id vlan-id [ 


vlan-id-mask ] | 8021p 802.1p-value |cvlan-id cvlan-id [ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag ] * 


[time-range time-name ] 




















缺 省 情况 下 ， 未 配置 规则 ， 可 ) 











jundo rule rule-id 命 令 删 除 一 个 二 

















说 明 





8021p802.1p-value、double-tag 这 几 个 参数 或 选项 。 











另外 ， 参 数 中 的 
入 0x) ， 直 接 输入 后 


























面 的 值 即 可 。 


也 址 掩 码 和 VLN ID 掩 码 值 是 十 六 进 





层 ACL 规 则 。 


在 S2700/3700/5700SI5700LIS5700S-LI 系列 交换 机 中 不 支持 cvlan-id cvlan-id [ cvlan-id-mask ] 、cvlan- 





























rule 命 令 中 的 参数 和 选项 说 明 如 表 9-7 所 示 。 


表 9-7 二 层 ACL 规 则 配置 命令 





央 ， 但 不 需要 输入 前 务 














j 的 0x〈 但 V2R1 版 本 必须 输 




















的 参数 和 选项 说 明 






























(2) 802.3 表示 匹配 802.3 标准 霸 


参数 说 明 

jad 参数 ， 用 来 指定 二 层 ACL 规则 的 编号 ， 取 值 范围 为 0 一 4 294 967 294 
的 整数 。 其 他 说 明 参 见 9.2.1 节 表 9-4 中 的 第 6 步 

deny - 选 一 选项 ， 表 示 拒 绝 符合 条 件 的 报 文 

permit - 选 一 选项 ， 表 示人 允许 符合 条 件 的 报 文 
可 多 选项 ， 指 定 ACL 规则 匹配 报 文 的 帧 封装 格式 。 其 中 3 个 多 选 一 选项 的 
含义 具体 如 下 。 

ether-ii | 802.3 | snap | (1) ether-ii 表 示 匹 配 Ethernet II 标准 封装 


站 
这 


由 





(3) snap 表示 匹配 SNAP 标准 看 





( 续 表 ) 


destination-inac 


vlan-id vlan-id 
[ vian-id-mask ] 


8021p 802.1p-value 


cvlan-id cv/an-id 
[ cvlan-id-mask ] 


cvlan-8021p 
$02.1p-value 





指定 ACL 规则 匹配 报 文 的 链 路 层 协议 类 型 ， 其 中 : type-value 表示 以 
16 位 的 十 六 进 制 数 标识 的 二 层 协议 类 型 ， 对 应 Ethemet_I 类 型 和 
Ethermet_SNAP 类 型 帧 中 的 Type (类 型 ) 字段 (2 个 字 节 ) 的 值 ， 取 
值 范围 为 0x0000 一 0xFFFF; 可 选 参 数 type-mask 表示 二 层 协 议 类 型 掩 
码 ， 为 16 比特 的 十 六 进 制 数 ， 用 于 指定 屏蔽 位 ‘0 表示 不 需要 匹配 ， 
f 表 示 需 要 匹配 ， 注 意 这 里 与 前 面 说 到 的 “通配符 掩 码 ” 是 相反 的 )， 
可 以 用 来 指定 一 个 协议 类 型 值 范围 ， 缺 省 值 为 0xffff， 即 对 每 位 都 进 
行 匹配 ， 即 仅 指定 一 个 协议 类 型 值 。 常 见 的 一 些 协议 类 型 所 对 应 的 十 
六 进 制 类 型 值 如 下 . 

0000 一 05DC: 正 EE802.3 

0800: JPv4 

0805: X25Level3 

0806: ARP 


0A00: Xerox IEEES02.3 PUP 


1 -protocol tpe-value | 0A01，Xerox IEEE802.3 PUP Address Translation 
[ope-mask] 


8035: Reverse Address Resolution Protocol (RARP) 

8037: IPX 

803C: DEC DNS Naming Service 

803D: DEC Ethemet CSMA/CD Encryption Protocol 

803E:， DEC Distnbuted Time Service 

809B: EtherTalk (AppleTalk over Ethemet) 

80D5: IBM SNA Services over Ethernet 

SOF3: AppleTalk Address Resolution Protocol (AARP) 

86DD: IPv6 

9000: Loopback (Confisuration Test Protocol) 

9001: 3Com XNS Systems Management 

9002; 3Com TCPTP Systems Management 

9003: 3Com loopback detection 

AAAA: DECNET 

可 多 选项 ， 指 定 ACL 规则 匹配 报 文 的 目的 MAC 地 址 信息 。 参 数 
dest-miac-address 和 dest-mac-mask 的 格式 均 为 H-H-H， 其 中 五 为 1 至 4 位 
的 十 六 进 制 数 。 其 中 ，dest-mac-address 用 来 指定 要 匹配 的 数据 包 的 目的 
MAC 地 址 : 可 选 参 数 dest-mac-mask 用 来 指定 目的 MAC 地 址 掩 码 ， 用 于 
指定 屏蔽 位 (0 表示 不 需要 苞 配 ,f 表 示 需 要 匹配 ), 可 以 用 来 指定 一 个 MAC 
地 址 范围 . 参数 dest-mac-mask 的 缺 省 值 为 HE-fEE-fEF， 即 对 每 位 都 进行 匹 
了 配 ， 苑 仅 指定 一 个 MAC 地 址 ， 如 果 不 配 置 此 可 选 参 数 ， 则 掩 码 相 当 于 
人 人 E 

这 两 个 参数 共同 作用 可 以 定义 用 户 想 要 匹配 的 目的 MAC 她 址 范围 。 比 如 
00e0-ff01-0101 fF 指定 了 一 个 MAC 地 址 : 00e0-fe01-0101， 而 
00e0-fe01-0101 EGGEE0000 则 指定 了 一 个 MAC 地 址 范围 :00e0-fe01-0000 一 
00a0-f-01-fer 

可 多 选项 ， 指 定 ACL 规则 匹配 报 文 的 涯 MAC 地 址 信息 。 其 中 : 

source-mac-address: 用 来 指定 要 匹配 的 数据 包 的 源 MAC 地 址 : 可 参数 
source-mac-mask 用 来 指定 源 MAC 地 址 掩 码 ， 如 果 不 配置 此 可 选 参 数 ， 则 掩 
码 相当 于 fEE-HGYF-fEF 

其 他 说 明 与 上 面 介绍 的 destination-mac dest-mac-address [ dest-mac-mask ] 欧 
数 的 说 明 一 样 


可 多 选项 ， 指 定 ACL 规则 匹配 报 文 的 外 层 VLAN 的 编号 ， 其 中 : vian-id 用 
来 指定 要 匹配 的 外 层 VLAN ID 的 值 ， 取 值 范围 为 1 一 4 094; vlan-id-mask 用 
来 指定 外 层 VLAN ID 值 的 掩 码 〈 与 前 面 介 绍 的 MAC 地 址 掩 码 作用 一 样 )， 
为 十 六 进 制 形式 ， 取 值 范围 为 0x0 一 0xfff， 缺 省 值 为 0xfff (表示 每 位 均 需 要 
匹配 )， 可 以 用 来 指定 一 个 外 层 VLAN 或 一 个 范围 的 外 层 VLAN。 如 果 不 配 
置 此 参数 ， 则 掩 码 相当 于 0xfff， 即 仅 指 定 一 个 外 层 VLAN 

可 多 选项 ， 指 定 ACL 规则 匹配 报 文 的 外 层 VLAN 的 802.1p 优先 级 ， 取 
值 范围 为 0 一 7 的 整数 ， 对 应 的 优先 级 名 称 为 :best-effort、background、 
spare 、 excellent-effort 、 controlled-load 、video 、 voice 和 network- 
management 

可 多 选项 , 指定 ACL 规则 匹配 报 文 的 内 层 VLAN 的 编号 。 其 中 : vlan-id 
用 来 指定 外 层 VLAN ID 的 值 , 取 值 范围 是 1 一 4 094; vlan-id-mask 用 来 
指定 外 层 VLAN ID 值 的 掩 码 , 为 十 六 进 制 形式 , 取 值 范围 为 0x0 一 0xfff， 
缺 省 值 为 0xfftf， 可 以 用 来 指定 一 个 内 层 VLAN 或 一 个 范围 的 内 层 
VLAN。 如 果 不 配置 此 参数 ， 则 掩 码 相 当 于 0xfff， 即 仅 指定 一 个 内 层 
VLAN 

可 多 选项 ， 指 定 ACL 规则 匹配 报 文 的 内 层 VLAN 的 802.1p 优先 级 ， 取 
值 范围 为 0 一 7 的 整数 ， 对 应 的 优先 级 名 称 为 : best-effort、background、 
spare 、 excellent-effort 、 controlled-load 、video 、 voice 和 network- 
management 








double-tag 


可 多 选项 ， 指 定 ACL 规则 匹配 报 文 时 匹配 带 双 层 tag 的 报 文 





time-range time-name 





【示例 1】 创建 二 层 ACL 4011， 


可 选 参数 ， 指 定 ACL 规则 生效 的 时 间 段 。time-name 表示 时 间 段 的 名 称 ， 为 
32 个 字符 








( 续 表 ) 


规则 中 拒绝 802.1p 优 先 级 为 3 的 报 文 (采用 自动 分 配 规则 号 方式 ， 此 





时 不 需要 手工 具体 指定 规则 号 ) 。 
<HUAWEI>system-view 
[HUAWEI] acl 4011 
[HUAWEI-acl-L2-4011] rule deny 8021p 3 
【示例 2】 创 建 二 层 ACL 4011， 定 义 规则 1， 禁 止 从 MAC 地 址 000d-88f5-97ed 发 送 到 MAC 地 址 0011- 
4301-991e， 且 802.1p 优 先 级 为 3 的 报 文通 过 。 
<HUAWEI>system-view 
[HUAWEI] acl 4011 
[HUAWEI-acl-L2-4011] rule 1 deny 8021p 3 destination-mac 0011-4301-991e ffff-ffff-ffff source-mac 000d- 
88f5-97ed ffff-ffff-ffff 
【示例 3】 创 建 二 层 ACL 4011， 定 义 规则 1， 人 允许 VLAN 编 号 为 2 一 10 的 报 文通 过 。VLAN 2 一 10 这 个 
范围 对 应 有 掩 码 为 0xff3， 因 为 只 要 前 面 1 位 和 最 后 2 位 一 样 时 就 可 以 使 得 VLAN ID 范围 在 2 一 10 之 间 。 
[HUAWEI] acl 4011 
[HUAWEI-acl-L2-4011] rule 1permit vlan-id 2 Oxff3 
【示例 4】 创建 二 层 ACL 4011 (采用 自动 分 配 规 则 号 方式 ， 此 时 不 需要 手工 具体 指定 规则 号 ) ， 规 
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则 中 允许 ARP《〈 类 型 值 为 0x0806) 报 文通 过 ， 但 拒绝 RARP“〈 类 型 值 为 0x8035) 报 文通 过 。 

<HUAWEI>system-view 

[HUAWEI] acl 4011 

[HUAWEI-acl-L2-4011] rule permit 12-protocol 0x0806 

[HUAWEI-acl-L2-4011] rule deny 12-protocol 0x8035 

【示例 5】 在 ACL 4001 中 采用 自动 分 配 ACL 规 则 号 方式 增加 一 条 规则 ， 匹 配 目 的 MAC 地 址 是 0000- 

0000-0001， 源 MAC 地 址 是 0000-0000-0002， 二 层 协议 类 型 值 为 0x0800 的 报 文 。 

<HUAWEI>system-view 

[HUAWEI] acl 4001 

[HUAWEI-acl-L2-4001] rule permit destination-mac 0000-0000-0001 source-mac 0000-0000-0002 12-protocol 
0x0800 
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9.2.4 配置 用 户 自 定义 ACL 
































用 户 自 定 义 ACL《〈 简 称 UCL ) 可 以 根据 用 户 自 定义 的 规则 对 数据 报 文 做 出 相应 的 处 理 。 它 的 配置 任务 
也 与 前 面 介绍 的 基本 ACEL 的 配置 任务 是 一 样 的 。 在 具体 配置 步骤 上 不 同 的 也 只 是 创建 的 ACL 类 型 不 同 ， 而 
且 ACL 规 则 所 使 用 的 参数 和 选项 不 同 。 下 面 同样 也 仅 介 绍 用 户 自 定义 ACL 的 创建 和 规则 的 配置 。 但 S2700 
系列 不 支持 用 户 自 定 义 ACL 。 

1. 用 户 自 定义 ACL 的 创建 
在 用 户 自 定义 ACL 的 创建 中 ， 同 样 可 以 创建 数字 型 的 或 者 命名 型 的 ACL。 如 果 创 建 的 是 数字 型 二 层 
ACL， 则 创建 方法 与 前 面 介绍 的 基本 ACL 的 创建 方法 一 样 ， 使 用 的 也 是 acl [number ] acl-number [match- 
order {auto | config } ] 命令 ， 但 其 中 acl-number 参 数 的 取 值 范围 只 能 是 5 000 一 5 999， 同 样 ，[match-order 
{auto | config } ] 可 选项 仅 S7700/9300/9700 系 列 交换 机 支持 。 

如 果 创 建 的 是 命名 型 二 层 ACL， 则 需要 采用 acl nameacl-name {user | acl-number } [match-order { auto | 
config } ] 命令 ， 二 选 一 选项 user 用 来 表示 所 创建 的 是 命名 型 用 户 自 定义 ACL， 如 果 选 择 acl-number 二 选 一 参 
数 ， 则 其 取 值 范围 也 是 5 000 一 5 999， 表 示 创 建 的 是 命名 型 用 户 自 定义 ACL。 
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二 层 ACL 规 则 的 配置 也 比 基 本 ACL 中 的 规则 配置 要 复杂 许多 ， 可 | 






































2. 用 户 自 定义 ACL 规 则 的 配置 
基本 上 是 可 同时 配置 的 。 具 体 命令 如 下 : 

















] 来 匹配 的 过 渡 条 伯 





比较 多 ， 而 且 也 


rule [ rule-id ] {deny |permit } [ [12-head | ipv4-head | ipv6-head | 14-head |] { rule-string rule-mask offset } & 


<1-8> ] [ time-range time-name ] 


说 明 





S2700/3700/5700EI5700SI5700LI5700S-LI 系列 交换 机 不 支持 &<1-8> 参 数 ， 
S2700/3700/5700SI5700LI5700S-LI 系 列 交换 机 不 支持 ipv6-head 多 选 一 可 选项 。 
命令 中 的 参数 和 选项 如 表 9-8 所 示 。 


表 9-8 用 户 自 定义 ACL 规 则 配置 命令 中 的 参数 和 选项 说 明 





参数 





说 明 





rule-id 


可 选 参 数 ， 用 来 指定 用 户 自 定义 ACL 规则 的 编号 ， 取 值 范围 为 0 一 


4 294 967 294 的 整数 。 其 他 的 说 明 参 见 9.2.1 节 表 9-4 中 的 第 6 步 








deny 





- 选 一 选项 ， 表 示 拒 绝 符合 条 件 的 报 文 





permit 


- 选 一 选项 ， 表 示人 允许 符合 条 件 的 报 文 





说 明 





12-head | ipv4-head | 
ipv6-head | 14-head 


可 选项 ， 指 定 ACL 规则 匹配 报 文 时 开始 偏 移 的 位 置 (有 具体 的 偏 移 量 由 后 面 的 
ofjset) 参数 决定 ，4 个 多 选 一 选项 说 明 如 下 。 

(1) 12-head: 指定 从 报 文 的 二 层 头 部 开始 偏 移 

(2) ipv4-head: 指定 从 IPv4 头 部 开始 偏 移 

(3) ipv6-head: 指定 从 IPv6 头 部 开始 偏 移 

(4) 14-head: 指定 从 四 层 协 议 头 部 开始 偏 移 

用 户 自 定义 ACL 就 是 根据 这 些 报头 中 的 字符 串 进行 匹配 的 ， 所 以 使 用 
用 户 自 定义 ACL 时 ， 一 定 要 对 各 种 协议 报头 格式 非常 清楚 ， 一 般 来 说 
比较 难 





rule-string 


指定 ACL 规则 中 用 于 与 报 文 进行 匹配 的 蔬 ， 为 3 一 10 位 十 六 进 制 字符 ， 
最 大 支持 4 个 字 节 。 命 令 每 次 固定 匹配 4 个 字 节 的 内 容 ， 当 配置 的 rule-string 
参数 长 度 不 满 4 个 字 节 时 ， 在 前 面 补 0 凌 足 4 个 字 节 进行 匹配 





rule-mask 


指定 用 于 规则 字符 串 匹 配 的 掩 码 ， 为 3 一 10 的 十 六 进 制 数 ， 最 大 支持 4 个 字 
节 ， 且 必须 与 rule-string 参数 值 的 长 度 相 同 ， 用 于 和 数据 包 进行 逻辑 “与 ” 操 
作 。 当 用 户 定义 的 规则 : [应 的 掩 码 为 “1” 时 ，ACL 对 该 位 字符 进行 匹 
配 ; 当 用 户 定义 的 规则 字符 串 对 应 的 掩 码 为 “0” 时 ，ACL 不 对 该 位 字符 进行 
匹配 〈 这 与 在 本 章 前 面 介绍 的 通配符 掩 码 是 相反 的 ) 





offset 


指定 ACL 规则 匹配 报 文 的 偏 移 值 ， 即 以 12-head 


ipv4-head | ipv6-head | 
14-head 选项 指定 的 偏 移 报头 开始 从 第 几 个 字 节 进行 “与 "操作 。rule-mask offset 
参数 对 共同 作用 ， 将 从 报 文 提取 出 来 的 字符 串 和 用 户 定义 的 rule-string 比较 ， 

找到 匹配 的 报 文 ， 然 后 进行 相应 的 处 理 








&<1-8> 





指 前 面 的 { rule-string rule-mask offset } 参数 对 最 多 可 以 有 8 个 ， 以 便 指 定 多 段 
用 于 规则 匹配 的 报头 字符 串 





time-range 
time-name 





可 选 参数 ， 指 定 使 用 一 个 ACL 规则 生效 的 时 间 段 ， 参 数 time-name 用 来 指定 
所 使 用 的 时 间 段 名 称 ， 是 1 一 32 个 字符 

















( 续 表 ) 


【示例 】 在 编号 为 5001 的 ACL 中 采用 自动 分 配 规 则 号 方式 增加 一 条 规则 ， 从 二 层 报 文 头 开始 偏 移 14 








个 字 节 匹配 4 个 字 节 的 字符 串 ， 
<HUAWEI>system-view 
[HUAWEI] acl 5001 











字符 串 内 容 为 0180C200。 


[HUAWEI-acl-user-5001] rule permit 12-head Ox0180C200 OxFFFFFFFF 14 


9.2.5 ACL 管 理 








在 完成 以 上 ACL 配置 后 ， 或 者 在 























8 现 ACL 应 用 问题 时 可 在 任意 视图 下 通过 以 下 display 命 令 查看 相关 











ACL 配 置信 息 ， 验 证 ACL 相 关 配 置 结 果 ， 或 者 在 



























































j 户 视图 下 通过 以 下 reset 命 令 清除 ACL 相 关 统计 信息 。 


(1) 使 用 display acl { acl-number |name acl-name | all } 命 令 查 看 ACL 的 相关 配置 信息 。 








(2) 使 用 display time-range { all | time-name } 命 令 查 看 当前 时 间 段 的 配置 和 ) 























、 
大 态 。 


(3) 使 用 display acl resource [ slot slot-id ] 命令 查看 设备 上 ACL 的 资源 分 配 信 息 。 可 选 参 数 slot-id 用 来 
指定 要 查看 资源 分 配 信息 的 槽 位 信息 : 在 非 堆 邯 情况 下 ， 只 能 是 0， 在 堆 著 情况 下 ， 表 示 堆 车 ID。 如 果 不 指 
定 此 参数 ， 则 显示 所 有 堆 色 交 换 机 的 ACL 资 源 使 用 情况 。 












































(4) 使 用 reset acl counter {name acl-name | acl-number | all } 命 令 
















































































青 除 ACEL 的 统计 信息 。 当 用 户 需 要 清除 











系统 中 ACL 的 统计 信息 ， 或 者 当 用 户 需要 精确 了 解 茶 段 时 间 内 ACL 的 统计 信息 时 ， 可 以 执行 该 命令 清除 系 








统 中 ACL 的 历史 统计 信息 。 但 执行 本 命令 清 





行 该 命令 前 ， 请 务必 确认 清楚 。 








9.3 基于 ACL 的 简化 流 策略 




















上 节 介 绍 的 是 ACL 的 配置 方法 ， 但 这 些 ACL 只 有 在 具体 位 置 或 功能 上 得 到 应 | 
一 种 应 用 方法 (路 由 信息 过 滤 和 策略 路 由 等 方 盏 
之 中 ) 。ACL 可 以 在 交换 机 上 全 局 ，VLAN 或 具体 接口 上 应 用 ， 但 在 华为 $ 系列 交换 机 中 不 是 直接 应 用 


























绍 的 其 实 就 是 ACL 的 其 

























































































除 系统 中 ACL 的 统计 信息 时 系统 不 会 产生 提示 信息 ， 所 以 在 执 














的 应 用 不 





























] 后 才 会 生效 ， 本 节 所 介 


包括 在 本 节 介绍 的 范围 




















的 ， 是 通过 一 种 称 之 为 “基于 AcCL 的 简化 流 策略 ”来 进行 的 。 如 可 把 ACL 应 用 于 简化 流 策略 中 的 多 种 流行 为 






































应 用 中 ， 如 报 文 过 滤 、 流 量 监管 、 流 量 镜像 、 流 量 重 定向 、 报 文 重 标记 等 

















列 部 分 机 型 支持 该 功能 。 
说 明 


本 节 的 内 容 涉 及 第 10 章 将 要 介绍 的 QoS 功能 ， 如 QoS 流 策 略 中 的 流量 监管 、 

















。 但 只 有 











S2700/3700/5700/6700 系 




















报 文 重 标记 、 流 量 统计 等 行为 ， 大 家 可 以 从 第 10 章 了 解 相关 知识 。 








9.3.1 基于 ACL 的 简化 流 策略 概述 


























流量 镜像 、 流 量 重 定向 、 





“基于 ACL 的 简化 流 策略 ”是 指 通 过 将 报 文 信息 与 ACL 规 则 进行 匹配 ， 为 符合 ACL 规 则 的 报 文 提供 相同 


的 QoS 服务 ， 实 现 对 不 同类 型 业务 的 差分 服务 。 在 用 户 希望 对 进入 网 络 的 流 
文 的 源 人 p 地 址 、 分 片 标记 、 目 的 人 P 地 址 、 源 端口 
进行 匹配 ， 进 而 配置 基于 ACL 的 简化 流 策略 实现 对 匹配 ACL 规则 的 报 文 的 过 滤 监管 、 
































像 或 重 定向 。 














与 第 10 章 将 要 介绍 的 QoS 中 基于 流 分 类 的 流 策略 相 比 ， 雪 
流行 为 或 流 策略 ， 直 接 通过 一 条 命令 把 所 采用 的 基于 ACL 的 












































时 进行 控制 时 ， 可 以 配置 根据 报 
号 、 源 MAC 地 址 、 目 的 MAC 地 址 等 信息 的 ACL 规 则 对 报 文 





重 标记 、 统 计 、 流 镜 


起 于 ACEL 的 简化 流 策略 不 需要 单独 创建 流 分 类 、 
流 分 类 和 对 应 的 流行 为 进行 关联 ， 达 到 最 终 的 

















QoS 流 策 略 的 目的 ， 配 置 更 为 简洁 。 但 是 由 于 仅 基 于 ACL 规 则 对 报 文 进行 匹配 ， 因 此 ， 匹 配 规 则 没有 基于 





QoS 流 分 类 的 流 策略 那样 丰富 ， 如 在 ACL' 

















不 能 配置 
































则 。 有 关 QoS 方 面 的 详细 内 容 将 在 第 10 章 介绍 。 








华为 $ 系列 交换 机 中 的 “基于 ACL 的 简化 流 策略 ”包括 报 文 过 滤 、 流 量 监管 、 
量 重 定向 、 报 文 重 标记 、 流 量 统计 等 几 个 方面 ， 也 可 算是 ACL 在 QoS 流 策 









































ACL 的 简化 流 策略 都 可 以 应 用 在 交换 机 全 
种 简化 流 策略 中 的 应 用 配置 方法 。 
































9.3.2 配置 基于 ACL 的 报 文 过 滤 














示 于 内 /外 层 VLAN 标 签 、 优 先 级 映射 、 报 文 颜 色 等 规 

















流量 镜像 、 流 量 统计 、 流 

















三 


可 、 


略 中 的 几 






































种 主要 应 用 。 这 些 基于 























1L 体 VLAN 或 具体 交换 机 接 


上 。 下 1 


且 分 别 介 绍 ACL 在 以 上 几 























通过 配置 基于 ACL 的 报 文 过 滤 ， 可 对 匹配 ACL 规 则 报 文 进行 禁止 /允许 动作 ， 进 而 实现 对 网 络 流量 的 控 

制 《S2700/3700 系 列 仅 可 在 入 方向 应 用 ，S5700/6700 系 列 既 可 以 入 方向 应 用 ， 又 可 在 出 方向 上 应 用 ) 。 在 
基于 ACL 的 简化 流 策略 的 报 文 过 滤 应 用 中 ， 用 户 可 以 根据 以 下 原则 选择 使 用 traffic-filter 或 traffic-secure 命 令 

配置 报 文 过 滤 。 

(1) 如 果 traffic-filter 或 traffic-secure 命 令 关 联 的 ACL 没 有 同时 被 其 他 基于 ACL 的 简化 流 策略 所 关联 〈 即 

两 个 简化 流 策略 所 关联 的 不 是 同一 个 ACL) ， 且 报 文 不 会 同时 匹配 本 命令 中 调用 的 ACL 规 则 和 其 他 简化 流 

策略 关联 的 ACL 规 则 〈 即 报 文 不 同时 匹配 两 个 简化 流 策略 所 关联 的 ACL 规 则 ) 时， 这 两 个 命令 可 以 任 选 其 

























































































































































































(2) 如 果 traffic-filter 或 traffic-secure 命 令 关 联 的 ACL 同 时 被 其 他 基于 ACL 的 简化 流 策略 所 关联 ( 即 两 个 
简化 流 策略 所 关联 的 是 同一 个 ACL) ， 或 者 报 文 同 时 匹配 了 本 命令 中 调用 的 ACL 规 则 和 其 他 简化 流 策 略 关 
联 的 ACL 规 则 〔 即 报 文 同时 匹配 两 个 简化 流 策略 所 关联 的 ACL 规 则 〉 时 ，traffic-filter 和 traffic-secure 的 区 别 
如 下 。 

(QD 当 traffic-secure 命 令 和 其 他 基于 ACL 的 简化 流 策略 同时 配置 ， 且 ACL 规 则 中 的 动作 为 deny 时 ， 则 仪 
traffic-secure、traffic-mirror (用 来 配置 根据 ACL 进 行 流 镜像 ) 和 traffic-statistics (用 来 配置 根据 ACL 进 行 流 
量 统 计 ) 命令 的 配置 将 生效 ( 言 外 之 意 就 是 traffic-filter 命 令 的 配置 不 生效 ) ， 报 文 被 过 滤 。 

@ 当 traffic-secure 和 其 他 基于 ACL 的 简化 流 策略 同时 配置 ， 且 ACL 规 则 中 的 动作 为 permit 时 ，traffic- 
secure 命 令 和 其 他 基于 ACL 的 简化 流 策略 均 生 效 。 

@) 当 traffic-filter 和 其 他 基于 ACEL 的 简化 流 策 略 同时 配置 ， 且 ACL 规 则 中 的 动作 为 deny 时 ， 则 仅 traffic- 
filter、traffic-mirror 和 traffic-statistics 命 令 的 配置 生效 ( 言 外 之 意 就 是 traffic-secure 命 令 的 配置 不 生效 ) ， 报 
文 被 过 滤 。 

由 当 traffic-filter 和 其 他 基于 AcCL 的 简化 流 策略 同时 配置 ， 且 ACL 规 则 中 的 动作 为 permit 时 ， 先 配置 的 
简化 流 策略 生效 。 

说 明 

traffic-secure 命令 的 优先 级 高 于 其 他 简化 ACL 配置 命令 ， 即 如 果 traffic-secure 命令 和 其 他 简化 ACL 配 
置 命 令 的 配置 相 冲 突 时 ， 最 终 以 traffic-secure 命 令 配 置 为 准 。 

1. 在 全 局 或 VLAN 上 应 用 基于 ACL 的 报 文 过 滤 

ACL 可 在 全 局 或 YLAN 上 应 用 ， 配 置 报 文 过 滤 功 能 ， 但 每 个 调用 的 ACL 仅 可 匹配 一 个 ACL 规 则 ， 若 
ACL 中 包括 有 许多 规则 ， 则 必须 指出 所 要 应 用 的 具体 ACL 规 则 编号 。 此 时 需要 在 系统 视图 下 据 实 际 需要 选 
择 以 下 对 应 的 命令 进行 配置 。 

(1) 入 方向 报 文 过 滤 

Q 在 除 S2700-52P-EI2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交 换 机 上 ， 执 行 traffic-filter [vlan 
Vlan-id ] inbound acl {bas-acl | adv-acl } [ rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 

@ 在 S2752P-EI2752P-PWR-EI3700SI/3700EI 系列 交换 机 上 ， 执 行 traffic-filter [ vlan vlan-id ] inbound 
acl { bas-acl |adv-acl | user-acl } [ rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 

@ 在 S5700/6700 系列 交换 机 上 ， 执 行 traffic-filter [vlan vlan-id ] inbound acl { [ ipv6 ] {bas-acl | adv-acl 
|nameacl-name } | 12-acl | user-acl } [ rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 

由 在 除 S7700/9300/9300E/9700 系列 交换 机 外 的 其 他 所 有 S 系列 交换 机 上 ， 执 行 traffic-secure [vlan vlan- 
id ] inboundacl {bas-acl |adv-acl | 12-acl nameacl-name } [rule rule-id ] 命令 ， 对 匹配 单个 ACL 规 则 的 入 方向 报 
文 进行 过 滤 。 

@ 在 除 S7700/9300/9300E/9700 系列 交换 机 外 的 其 他 所 有 S 系列 交换 机 上 执行 traffic-secure [vlan vlan-id 
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] inbound acl { 12-acl |name acl-name }[ rule rule-id ] acl { ba s-acl | adv-acl Inameacl-name } [ rule rule-id ] 命 
令 ， 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 
《2) 出 方向 报 文 过滤 
在 S5700/6700 系 列 交 换 机 上 其 他 系列 不 支持 ) ， 执 行 traffic-filter [vlan vlan-id ] outbound acl { [ ipv6] 
{bas-acl | adv-acl Inameacl-name } |12-acl } [rulerule-id ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 过 滤 。 
《3) 入 或 出 方向 报 文 过 滤 
在 S5700/6700 系 列 交 换 机 上 (其 他 系列 不 支持 ) ， 执 行 traffic-filter [vlan vlan-id ] { inbound | outbound } 


acl { 12-acl |name acl-name } [ rule rule-id ] acl {bas-acl | adv-acl Inameacl-name } [ rule rule-id ] 或 traffic-filter 


























[vlan vlan-id ] { inbound | outbound } acl {bas-acl ladv-acl |nameacl-name } [rule rule-id ] acl { 12-acl |nameacl- 
name } [rule rule-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 或 出 方向 报 文 进行 过 滤 。 
以 上 各 个 traffic-filter 和 traffic-secure 命 令 中 的 参数 和 选项 说 明 如 表 9-9 所 示 。 











表 9-9 traffic-filter 和 traffic-secure 命 令 参 数 和 选项 说 明 


参数 说 明 

可 选 参数 ， 指 定 在 特定 VLAN 上 应 用 基于 ACL 的 报 文 过 滤 ， 参 数 vian-id 用 来 指定 
特定 VLAN 的 VLAN ID， 取 值 范 围 为 1 一 4 094 的 整数 

inbound 指定 在 入 方向 上 应 用 报 文 过 滤 

outbound ”| 指定 在 出 方向 上 应 用 报 文 过 滤 , 但 基于 用 户 自 定义 ACL 的 报 文 过 滤 不 能 在 出 方向 上 应 用 





vlan vlan-id 
































acl 指定 基于 IPv4 ACL 对 报 文 进行 过 滤 
ipv6 可 选项 ， 指 定 基于 IPv6 ACL 对 报 文 进行 过 滤 
Pe 多 先 -参数 ， 指定 采 ] 指 定编 号 的 基于 基本 ACL ( 可 以 是 基本 ACL 或 基本 ACL6) 
进行 报 文 过 滤 ， 取 值 范围 为 2 000 一 2 999 的 整数 
a 多 选 -参数 指定 采 / ] 指 定编 号 的 基 于 高 级 ACL (可 以 是 高 级 ACL 或 高 级 ACL6) 
进行 报 文 过 滤 ， 取 值 范围 为 3 000 一 3 999 的 整数 
Jo 多 选 参数， 指定 采用 指定 编号 的 基于 二 层 ACL 进行 报 文 过 滤 ， 取 值 范围 为 4 000 一 
4 999 的 整数 
ed 多 选 一 参数 ， 指 定 采 用 指定 编号 的 基于 用 户 自 定义 ACL 进行 报 文 过 滤 ， 取 值 范围 为 


5 000 一 5 999 的 整数 
name 多 选 一 参数 ,指定 采用 指定 名 称 的 基于 命名 型 ACL 进行 报 文 过 滤 , 为 1 一 32 个 字符 ， 

acl-name 不 支持 空格 ， 区 分 大 小 写 ， 且 要 以 英文 字母 a 一 z 或 A 一 Z 开始 

可 选 参数 ， 指 定 基 于 ACL 中 特定 规则 进行 报 文 过 滤 。 参 数 rule-id 用 来 指定 对 应 的 规 

rule rule-id | 则 编号 ， 对 于 IPv4 的 ACL， 取 值 范 围 是 0 一 4 294 967 294; 对 于 IPv6 的 ACL， 取 值 

范围 是 0 一 2 047 















































【示例 1】 在 交换 机 VLAN 100 中 《即将 在 所 有 加 入 了 VLAN 100 的 接口 上 应 用 ) 应 用 基于 ACL 的 报 文 
过 滤 ， 仪 允许 源 IP 地 址 为 192.168.0.2 的 主机 的 IP 报 文通 过 ， 于 弃 其 他 报 文 。 这 里 需要 同时 过 滤 报 文 协议 类 型 
(IP 协议 ) 和 源 IP 地 址 信息 ， 所 以 需要 采用 高 级 ACL。 如 果 不 限制 报 文 的 协议 类 型 ， 则 可 直接 用 基本 ACL 

来 配置 。 

<HUAWEI>system-view 

[HUAWEI] vlan 100 

[HUAWEI-Vlan100] quit 

[HUAWEI| acl name test 3000 

[HUAWEI-acl-adv-test] rule 5permit ip source 192.168.0.20 #--- 这 里 的 通配符 掩 码 为 0， 表 示 为 主机 IP 地 




















































































































址 
[HUAWEI-acl-adv-test] rule 10deny ip source any 
[HUAWEI-acl-adv-test] guit 
[HUAWEI] traffic-filter vlan 100 inbound acl name test 
【示例 2】 在 交换 机 全 局 〈《 所 有 接口 、 所 有 VLAN 中 ) 上 配置 基于 ACL 的 报 文 过 滤 功 能 ， 将 源 IP 地 址 为 






































192.168.0.2 的 IP 报 文 丢弃 。 
<HUAWEI>system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] rule 5deny ip source 192.168.0.2 0 
[HUAWEI-acl-adv-3000] quit 
[HUAWEI] traffic-secure inbound acl 3000 
2. 在 端口 上 应 用 基于 ACL 的 报 文 过 滤 
ACL 还 可 在 具体 以 太 网 端口 上 应 用 基于 ACL 的 报 文 过滤 功 能 。 此 时 可 根据 实际 需要 在 具体 以 太 网 接 
视图 下 选择 使 用 以 下 命令 进行 配置 。 
《1) 入 方向 报 文 过 滤 
QD 在 除 S2700-52P-EI2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交 换 机 上 ， 执 行 traffic-filter 
inbound acl {bas-acl | adv-acl } [rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 
@ 在 S2752P-EI2752P-PWR-EI3700S/3700EI 系列 交换 机 上 上， 执行 traffic-filter inbound acl {bas-acl | adv- 
acl | user-acl } [ rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 
@) 在 S5700/6700 系 列 交 换 机 上 ， 执 行 traffic-filter inbound acl { [ ipv6 ] {fbas-acl ladv-acl |name acl-name } | 
12-acl | user-acl } [ rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 
由 或 者 在 除 S7700/9300/9700 系列 交换 机 外 的 其 他 所 有 S 系列 交换 机 上 ， 执 行 traffic-secure inbound acl 
{ bas-acl | adv-acl | 12-acl Inameacl-name } [rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 过 滤 。 
@ 在 除 S7700/9300/9700 系列 交换 机 外 的 其 他 所 有 S 系列 交换 机 上 ， 执 行 traffic-secure inbound acl { 12- 
acl |name acl-name } 
[ rule rule-id ] acl {bas-acl | adv-acl |name acl-name } [ rule rule-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 
则 的 入 方向 报 文 进行 过 滤 。 
(2) 出 方向 报 文 过 滤 
在 S5700/6700 系列 交换 机 上 (其 他 系列 不 支持 ) ， 执 行 traffic-filter outbound acl { [ ipv6 ] {bas-acl | adv- 
acl |nameacl-name } | 12-acl } [ rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 过 滤 。 
《3) 入 或 出 方向 报 文 过 滤 
在 S5700/6700 系列 交换 机 上 〈 其 他 系列 不 支持 ) ， 执 行 traffic-filter { inbound |outbound }acl { 12-acl 


Inameacl-name } [rule rule-id ] acl {bas-acl ladv-acllnameacl-name } [ rule rule-id ] 或 traffic-filter { inbound 




























































































































































































































































































loutbound }acl {bas-acl |adv-acl Inameacl-name } [ rule rule-id ] acl { 12-acl |nameacl-name } [ rule rule-id ] 命令 对 
同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 或 出 方向 报 文 进行 过 滤 。 
以 上 traffic-filter 和 traffic-secure 命 令 的 参数 和 选项 说 明 参 见 表 9-12。 
【示例 3】 在 交换 机 GE0/0/1 接口 上 应 用 基于 ACL 的 报 文 过 滤 功 能 ， 人 允许 源 IP 为 192.168.0.2 的 主机 IP 
报 文通 过 。 
<HUAWEI>system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] rule 5permit ip source 192.168.0.20 
[HUAWEI-acl-adv-3000] quit 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] traffic-filter inbound acl 3000 
【示例 4】 在 交换 机 GE0/0/1 接口 上 应 用 基于 ACL 的 报 文 过 滤 功 能 ， 将 源 耳 为 192.168.0.2 的 主机 IP 报 











































































































文 丢 弃 。 
<HUAWEI>system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] rule 5deny ip source 192.168.0.2 0 
[HUAWE1I-acl-adv-3000] quit 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] traffic-secure inbound acl 3000 











9.3.3 配置 基于 ACL 的 流量 监管 
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通过 配置 基于 ACL 的 流量 监管 ， 对 匹配 ACL 规 则 的 报 文 进行 限 速 ， 并 配置 对 不 同 颜色 报 文采 取 的 动作 
(S2700/3700 系 列 交 换 机 中 仅 可 在 入 方向 上 应 用 ACL，S5700/6700 系 列 交换 机 既 可 在 入 方向 应 用 ， 又 可 以 
在 出 方向 上 应 用 ACL ) 。 同 样 ， 在 配置 基于 ACEL 的 报 文 过 滤 之 前 ， 需 要 配置 好 相应 的 ACL 规 则 ， 但 每 个 调 
的 ACEL 仅 可 匹配 一 个 ACL 规 则 ， 当 ACL 中 包括 许多 规则 时 ， 则 必须 指出 所 要 应 用 的 具体 ACL 规 则 编号 。 
1. 在 全 局 或 VLAN 上 应 用 基于 ACL 的 流量 监管 
在 全 局 或 VLAN 上 应 用 基于 ACL 的 流量 监管 的 配置 需要 在 系统 视图 下 根据 不 同 S 系 列 交 换 机 选择 以 下 不 
同 命令 进行 。 
(1) 在 S2700-52P-EI/2700-52P-PWR-EI2710SI3700SI/3700EI 系 列 交换 机 上 


执行 traffic-limit [vlan vlan-id ] inbound acl { { [ipv6 ] {bas-acl | adv-acl name acl-name } } | 12-acl | user-acl 
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或 |! 


















































} [rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-value pbspbs-value ] [green {drop |pass [remark-8021p8021p- 
value |remark-dscpdscp-value ] } ] [yellow {drop |pass [remark-8021p8021p-value |remark-dscpdscp-value ] } ] [red 
{drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进 


a 三 A 
行 流量 监管 。 





























执行 traffic-limit [vlan vlan-id ] inbound acl {12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl 
|nameacl-name } [ rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs- valuepbspbs-value | [green {drop |pass 
[remark-8021p8021p-value |remark-dscpdscp- value] } ] [yellow {drop |pass [ remark-8021p8021p-value | remark- 
dscpdscp-value ] } ] [ red { drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] 命令 对 同时 匹配 
二 层 ACL 和 三 层 ACL 的 入 方向 报 文 进行 流量 监管 。 
(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 
执行 traffic-limit [vlan vlan-id ] inbound acl { { [ipv6 ] { bas-acl | adv-acl Iname acl- name } } | 12-acl } [ rule 
rule-id ] cir cir-value [ cbs cbs-value ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 监管 。 
执行 traffic-limit [vlan vlan-id ] inbound acl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl | adv-acl 
Iname acl-name } [ rule rule-id ] cir cir-value [ cbscbs-value ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 的 入 方向 报 
文 进行 流量 监管 。 
(3) 在 S5700L1/5700SI1/5700S-LI 系 列 交换 机 上 


执行 traffic-limit [ vlan vlan-id ] inbound acl { [ ipv6 ] {bas-acl | adv-acl Iname acl- name } | 12-acl | user-acl } 















































[rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [greenpass ] [ yellow {droplpass [ remark- 
8021p8021p-value | remark-dscp dscp-value ] } ] [red {drop |pass [remark-8021p8021p-value remark-dscpdscp- 
value ] } ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 监管 。 


执行 traffic-limit [vlan vlan-id ] outbound acl { [ ipv6 ] { bas-acl | adv-acl Iname acl- name } | 12-acl } [ 




















rulerule-id ] } cir cir-value [pirpir-value ] [ cbs cbs-valuepbspbs-value ] [ greenpass ] [yellowpass ] [ red {drop |pass 








} ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 流量 监管 。 


执行 traffic-limit [vlan vlan-id ] inbound acl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas-acl ladv- 


1 





acllnameacl-name } [ rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs- valuepbspbs-value ] [greenpass ] [yellow 
{drop |pass [remark-8021p8021p-value |remark- dscpdscp-value ] } ] [red {drop |pass [remark-8021p8021p-value 
Fremark-dscpdscp-value ] } ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 的 入 方向 报 文 进行 流量 监管 。 


执行 traffic-limit [vlan vlan-id ] outboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl 





Inameacl-name } [ rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs- valuepbs pbs-value ] [greenpass ] [yellowpass 
] [red {drop |pass } ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 的 出 方向 报 文 进行 流量 监管 。 
(4) 其 他 S5700 系 列 和 S6700 系 列 交 换 机 上 


执行 traffic-limit [vlan vlan-id ] outbound acl { [ ipv6 ] { bas-acl | adv-acl lIname acl- name } | 12-acl } [ 

















rulerule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [ [green {drop |pass [ remark-8021p8021p- 
value | remark-dscpdscp-value ] } ] [yellow {drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value] } ] [ 
red {drop |pass [ remark- 8021p8021p-value | remark-dscpdscp-value ] } ] ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 
文 进行 流量 监管 。 


执行 traffic-limit [vlan vlan-id ] inbound acl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl | adv- 














acllnameacl-name } [ rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [ green {drop |pass [ 
remark-8021p8021p-value | remark-dscp dscp-value ] } ] [yellow {drop |pass [remark-8021p8021p-value |remark- 
dscpdscp-value ] } ] [ red { drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] 命令 对 同时 匹配 
二 层 ACL 和 三 层 ACL 的 入 方向 报 文 进行 流量 监管 。 
执行 traffic-limit [vlan vlan-id ] outboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl | adv-acl 
name acl-name } [rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [ [green {droplpass [ 
remark-8021p8021p-value | remark-dscp dscp-value ] } ] [yellow {drop |pass [remark-8021p8021p-value remark- 
dscpdscp-value ] } ] [ red {drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] ] 命令 对 同时 匹配 
二 层 和 三 层 ACL 的 出 方向 报 文 进行 流量 监管 。 
说 明 
报 文 的 颜色 可 以 在 流量 监管 中 定义 。 
(1) 报 文 的 突 发 尺寸 <cbs-value 时 ， 报 文 被 标记 为 绿色 。 
(2) cbs-value< 报 文 的 突 发 尺寸 <pbs-value 时 ， 报 文 被 标记 为 黄色 。 
(3) 报 文 的 突 发 尺寸 >=pbs-value 时 ， 报 文 被 标记 为 红色 。 
缺 省 情况 下 ， 绿 色 、 黄 色 报 文 被 允许 通过 ， 红 色 报 文 被 丢弃 。 
从 以 上 命令 可 以 看 出 ， 各 命令 主要 是 所 支持 的 参数 和 选项 不 同 ， 这 些 参数 和 选项 的 说 明 如 表 9-10 所 
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表 9-10 traffic-limit 命 令 参 数 和 选项 说 明 


参数 


说 明 





vlan vlan-id 


inbound 


可 选 参数 ， 指 定 要 应 用 简化 流 策略 的 VLAN 的 编号 ， 取 值 范围 为 1 一 4 094 的 整数 。 
如 果 不 指 定 本 参数 ， 则 将 在 交换 机 上 全 局 应 用 
指定 对 入 方向 报 文 进行 流量 监管 





outbound 


指定 对 出 方向 报 文 进行 流量 监管 





acl 





指定 基于 IPv4 ACL 对 报 文 进行 流量 监管 





ipv6 


bas-acl 


可 选项 ， 指 定 基 于 IPv6 ACL 对 报 文 进行 流量 监管 
多 选 一 参数 ， 指 定 基于 基本 ACL 对 报 文 进行 流量 监管 的 ACL 编号 ， 取 值 范围 是 
2 000 一 2 999 的 整数 





adv-acl 


多 选 一 参数 ， 指 定 基 于 高 级 ACL 对 报 文 进行 流量 监管 的 ACL 编号 ， 取 值 范围 是 
3 000 一 3 999 的 整数 





{2-acl 


多 选 一 参数 ， 指 定 基 于 二 层 ACL 对 报 文 进行 流量 监管 的 ACL 编号 ， 取 值 范围 是 
4 000 一 4 999 的 整数 





user-acl 


name 
acl-name 


rule rule-id 


多 选 一 参数 ， 指 定 基于 用 户 自 定义 ACL 对 报 文 进行 流量 监管 的 ACL 编号 ， 取 值 范围 
是 5000 一 5 999 的 整数 

多 选 一 参数 ， 指 定 基于 命名 型 ACL 对 报 文 进行 过 滤 。 其 中 ，aci-name 表示 ACL 的 名 
称 ,为 1 一 32 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 ， 且 要 以 英文 字母 a~z 或 A 一 Z 开始 
指定 基于 ACL 中 特定 规则 进行 报 文 流量 监管 的 规则 编号 。 对 于 IPv4 ACL， 取 值 范围 
是 0 一 4294 967 294 的 整数 ; 对 于 IPv6 ACL, 取 值 范围 是 0 一 2 047 的 整数 。 如果 ACL 
中 仅 一 条 规则 ， 则 不 用 指定 本 参数 











Cir cir-value 


可 选 参数 ， 指 定 承 诺 信息 速率 ， 即 保证 能 够 通过 的 平均 速率 ， 单 位 是 kbits。 对 于 
S5700S-LIS700LIS700HIS710EI6700 系 列 交换 机 , 取 值 范围 为 8 一 10 000 000 的 整数; 
对 于 S2700/3700/5700SI/S700EI 系列 交换 机 ， 取 值 范围 为 64 一 10 000 000 的 整数 





pir 
pir-value 





可 选 参数 ， 指 定 峰 值 信息 速率 ， 即 能 够 通过 的 最 大 速率 ， 单 位 是 kbits。 对 于 
S5700S-LI5700LIS5700HIU5710EI6700 系列 交换 机 , 取 值 范围 为 8 一 10 000 000 的 整数 ; 
对 于 S2700/3700/5700SI/5700EI 系列 交换 机 ， 取 值 范 围 为 64 一 10 000 000 的 整数 





cbs 
chs-value 


可 选 参数 ， 指 定 承 诺 突 发 尺寸 ， 即 瞬间 能 够 通过 的 承诺 突 发 流量 ， 单 位 是 byte。 

S3700/5700/6700 系列 交换 机 的 取 值 范围 为 4 000 一 4 294 967 295 的 整数 ，S2700 系列 
交换 机 的 取 值 范围 为 8 192 一 4 294 967 295 的 整数 。 其 缺 省 值 与 配置 的 cir-value 有 关 ， 
对 于 S3700/570016700 系列 交换 机 ， 如果 cirvalue*125 码 4 000kbit/s， 则 cbs-value 的 缺 
省 值 为 4000 bytes。 如 果 cir-value*125>4 000kbits， 则 cbs-value 的 缺 省 值 等 于 cir-value 
的 125 倍 ; 对 于 S2700 系列 交换 机 ， 如 果 cir-value 夸 4096kbit/s， 则 cbs-value 的 缺 省 
值 为 4 096byte， 如 果 cir-value>4096kbit/s， 则 cbs-value 的 缺 省 值 等 于 cir-value 的 值 





pbs 
pbs-value 


可 选 参 数 ， 指 定 峰值 突 发 尺寸 ， 即 瞬间 能 够 通过 的 峰值 突 发 流量 ， 单 位 是 byte。 取 值 
范围 是 4 000 一 4 294 967 295。 人 缺 省 值 与 配置 的 pir-value 有 关 ， 对 于 S3700 系列 交换 
机 ， 如 果 pir-value 反 4096kbits ， 则 pbs-value 的 缺 省 值 为 4096byte ， 如 果 
Pir-value>4096kbit/s， 则 pbs-value 的 缺 省 值 等 于 pir-value 的 值 ; 对 于 S5700/6700 系列 
交换 机 ， 如 果 pir-value*125 夺 4000kbit/is， 则 pbs-value 的 缺 省 值 为 4000 bytes， 如 果 
pir-value*125>4 000kbit/s， 则 pbs-value 的 缺 省 值 等 于 pir-value 的 125 倍 


可 选项 ， 指 定 对 绿色 报 文 进行 监管 。 缺 省 情况 下 ， 绿 色 报 文 被 允许 通过 





green 
yellow 


rel 


可 选项 ， 指 定 对 黄色 报 文 进行 监管 。 缺 省 情况 下 ， 黄 色 报 文 被 允许 通过 
可 选项 ， 指 定 对 红色 报 文 进行 监管 。 缺 省 情况 下 ， 红 色 报 文 被 丢弃 





remark 
$021p-value 
remark 
dscp-value 


可 选 参数 ， 指 定 重 标记 报 文 的 8021p 优先 级 ， 取 值 范围 为 0 一 7 的 整数 





可 选 参数 ， 指 定 重 标记 报 文 的 DSCP 优先 级 ， 取 值 范围 为 0 一 63 的 整数 





drop 


| pass | 
【示例 1】 在 VLAN100 的 入 方向 ， 配 置 基于 ACL 3000 的 流量 监管 功能 ， 其 中 承诺 信息 速率 为 10 








二 选 一 选项 ， 指 定 丢 弃 报 文 
- 选 一 选项 ， 指 定 允 许 报 文通 过 














000kbit/s， 人 允许 绿色 和 黄色 报 文通 过 ， 技 弃 红色 报 文 。 


<HUAWEI>system-view 


[HUAWEI] traffic-limit vlan 100 inbound acl 3000 cir 10000 green pass yellow pass red drop 














2. 在 端口 上 应 用 基于 ACL 的 流量 监管 





在 端口 上 应 用 基于 ACL 的 流量 监管 的 配置 也 要 根据 不 同 S 系列 交换 机 选择 对 应 的 以 下 配置 


的 接口 视图 下 进行 。 














(1) 在 S2700-52P-E1/2700-52P-PWR-E1/2710SI/3700SI1/3700EI 系 列 交换 机 上 














命 
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在 





\ 体 


执行 traffic-limit inbound acl { { [ipv6 ] {bas-acl | adv-acl |nameacl-name } } | 12-acl | user-acl } [ rule rule-id 
] cir cir-value [pir pir-value ] [ cbs cbs-valuepbspbs-value ] [ green {drop |pass [ remark-8021p8021p-value | 
remark-dscpdscp-value ] } ] [yellow {drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [red 
{drop |pass [ remark-8021p 8021p-value |remark-dscpdscp-value ] } ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进 


六 二 这 已 A 
行 流量 监管 。 



































执行 traffic-limit inbound acl { 12-acl Inameacl-name } [ rule rule-id ] acl { bas-acl | adv-acl |name acl-name } [ 
rule rule-id ] cir cir-value [pirpir-value ] [cbs cbs-valuepbs pbs-value ] [green {drop |pass [ remark-8021p8021p- 
value | remark-dscpdscp-value ] } ] [yellow {drop |pass [remark-8021p8021p-value |remark-dscpdscp-value ] } ] 
[red {drop lpass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 
规则 的 入 方向 报 文 进 行 流量 监管 。 

(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 

执行 traffic-limit inboundacl { { [ipv6 ] {bas-aclladv-acl Inameacl-name } } | 12-acl } [ rule rule-id ] cir cir- 
value [ cbs cbs-value ] 命令 对 匹配 单个 ACL 规则 的 入 方向 报 文 进行 流量 监管 。 

执行 traffic-limit inboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl { bas-acl |adv-acl |name acl-name } [ 
rule rule-id ] cir cir-value [ cbs cbs-value ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 流量 监 
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忆 。 







































































(3) 在 S5700LI5700SI5700S-LI 系 列 交换 机 上 


执行 traffic-limit inbound acl { [ ipv6 ] { bas-acl | adv-acl Inameacl-name } | 12-acl |user-acl } [ rule rule-id ] cir 





cir-value [pir pir-value ] [ cbs cbs-valuepbs pbs-value ] [ green pass ] [yellow {drop |pass [ remark-8021p8021p- 
value | remark-dscpdscp-value ] } ] [ red {drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] 命令 
对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 监管 。 


执行 traffic-limitoutbound acl { [ ipv6 ] { bas-acl | adv-acl |nameacl-name } | 12-acl } [ rule rule-id ] } circir- 





咱 








value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [greenpass ] [ yellowpass ] [ red {drop |pass } ] 命令 对 匹配 单个 
ACL 规 则 的 出 方向 报 文 进行 流量 监管 。 


执行 traffic-limit inboundacl { 12-acl Inameacl-name } [ rule rule-id ] acl { bas-acl |adv-acl |name acl-name} [ 











rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [greenpass ] [ yellow {drop |pass [ remark- 
8021p8021p-value | remark-dscp dscp-value ] } ] [ red {drop |pass [ remark-8021p8021p-value |remark-dscpdscp- 
value ] } ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 的 入 方向 报 文 进行 流量 监管 。 


执行 traffic-limitoutbound acl { 12-acl jnameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl |name acl-name} [ 
































rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [greenpass ] [yellowpass | [red {drop |pass } 
] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACEL 的 出 方向 报 文 进行 流量 监管 。 
(4) 在 其 他 S5700 系 列 和 S6700 系 列 交换 机 上 


执行 traffic-limit inbound acl { { [ipv6 ] {bas-acl | adv-acl |nameacl-name } } | 12-acl | user-acl } [ rulerule-id ] 











cir cir-value [pirpir-value ] [ cbs cbs-valuepbspbs-value ] [ green {drop |pass [ remark-8021p8021p-value | remark- 
dscpdscp-value ] } ] [yellow {drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] [ red {drop |pass 
[ remark-8021p8021p-value | remark-dscpdscp-value ] } ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 监 
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已 。 




















执行 traffic-limitoutbound acl { [ ipv6 ] { bas-acl | adv-acl |nameacl-name } | 12-acl } [ rule rule-id ] circir- 
value [pirpir-value ] [ cbs cbs-valuepbspbs-value ] [ [green {drop |pass [ remark-8021p8021p-value |remark- 
dscpdscp-value ] } ] [ yellow {drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] [ red{drop |pass 





祭 





[ remark- 8021p8021p-value | remark-dscpdscp-value ] } ] ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 流量 监 


eran 


电 。 








执行 traffic-limit inboundacl { 12-acl Inameacl-name } [ rule rule-id ] acl { bas-acl |adv-acl |name acl-name} [ 
rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [green {drop |pass [ remark-8021p8021p- 
value | remark-dscpdscp-value ] } ] [ yellow {drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] [ 
red { drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 
规则 的 入 方向 报 文 进行 流量 监管 。 


执行 traffic-limitoutbound acl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl [name acl-name} [ 














rule rule-id ] cir cir-value [pirpir-value ] [ cbs cbs-valuepbs pbs-value ] [ [green {drop |pass [remark-8021p8021p- 
value |remark-dscpdscp-value ] } ] [ yellow {drop |pass [ remark-8021p8021p-value | remark-dscpdscp-value ] } ] [ 
red {drop |pass [ remark-8021p 8021p-value | remark-dscpdscp-value ] } ] ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 
规则 的 出 方向 报 文 进行 流量 监管 。 

从 以 上 命令 可 以 看 出 ， 各 命令 主要 是 所 支持 的 参数 和 选项 不 同 ， 这 些 参数 和 选项 的 说 明 参 见 表 9-12。 

【示例 2】 在 GE0/0/1 接 口 入 方向 配置 基于 ACL 的 流量 监管 功能 。 配 置 匹配 ACL 3000 的 报 文 的 承诺 信息 

速率 为 10 000kbiys， 人 允许 绿色 、 黄 色 、 红 色 报 文通 过 ， 重 标记 红色 报 文 的 DSCP 优 先 级 为 5。 

<HUAWEI > system-view 

[HUAWEI] interface gigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] traffic-limit inbound acl 3000 cir 10000 green pass yellow pass red pass 


remark dscp 5 


























































































































9.3.4 配置 基于 ACL 的 流 镜像 

































































通过 配置 基于 ACEL 的 流 镜 像 可 将 匹配 ACL 规 则 的 报 文 镜像 到 指定 观察 接口 ， 以 便于 对 报 文 进行 分 析 
( 均 仅 可 在 入 方向 上 应 用 ACL ) 。 在 配置 基于 ACEL 的 报 文 过 滤 之 前 需要 配置 好 相应 的 ACL 规 则 ， 但 每 个 调 
有 的 ACL 仅 可 匹配 一 个 ACL 规 则 ， 当 AcL 中 包括 有 许多 规则 时 ， 必 须 指出 所 要 应 用 的 具体 ACL 规 则 编号 。 
1. 在 全 局 或 VLAN 上 应 用 基于 ACL 的 流 镜像 
在 全 局 或 VLAN 上 应 用 基于 ACL 的 流 镜像 配 置 也 是 在 系统 视图 下 根据 不 同 S 系 列 交换 机 选择 以 下 不 同 命 
令 进行 的 。 
(1) 在 $2700-52P-EI/2700-52P-PWR-EI/2710SI3700SI3700EI 系 列 交换 机 上 
执行 traffic-mirror [vlan vlan-id ] inbound acl{ { [ ipv6 ] {fbas-acl | adv-acl Iname acl-name } } | 12-acl | user- 
acl } [rule rule-id ] toobserve-porto-index 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流 镜 像 。 
执行 traffic-mirror [vlan vlan-id ] inboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl ladv-acl 
Inameacl-name } [rule rule-id ] toobserve-porto-index [remotevlan-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 
的 入 方向 报 文 进行 流 镜像 。 
(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 
执行 traffic-mirror [vlan vlan-id ] inbound acl { { [ipv6 ] {bas-acl | adv-acl Iname acl-name } } | 12-acl } [ rule 
rule-id ] to observe-porto-index 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流 镜像 。 
(3) 在 S5700/6700 系 列 交换 机 上 
执行 traffic-mirror [vlan vlan-id ] inbound { acl { [ ipv6 ] {bas-acl | adv-acl |name acl-name } | 12-acl |user-acl 
} }[ rule rule-id ] to observe-porto-index [ remote vlan-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流 镜 
像 。 
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根据 需要 选择 以 下 一 个 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 流 镜像 。 
(1) traffic-mirror [vlanvlan-id ] inboundacl 12-acl [rule rule-id ] acl {bas-acl ladv-acl |name acl-name } [ rule 
rule-id ] to observe-porto-index [ remote vlan-id ] 
(2) traffic-mirror [ vlan vlan-id ] inbound acl name acl-name [ rule rule-id ] acl {bas- acl |adv-acl | 12-acl 


lInameacl-name } [ rule rule-id ] to observe-porto-index [ remote vlan-id | 


以 上 traffic-mirror 命 令 中 的 参数 和 选项 说 明 如 表 9-11 所 示 。 


表 9-11 traffic-mirror 命 令 参 数 和 选项 说 明 





参数 说 明 
vlan vlan-id | 指定 要 应 用 简化 流 镜像 策略 的 VLAN 的 编号 ， 取 值 范围 为 1 一 4 094 的 整数 
inbound “| 表示 对 入 方向 的 报 文 进行 流 镜像 
acl 指定 基于 IPv4 ACL 对 报 文 进行 流 镜像 
ipv6 指定 基于 IPv6 ACL 对 报 文 进行 流 镜像 
bas-acl 指定 基于 基本 ACL 对 报 文 进行 流 镜像 的 ACL 编号 , 取 值 范围 为 2 000 一 2 999 的 整数 
adv-acl 指定 基于 高 级 ACL 对 报 文 进 和 象 的 ACL 编号 , 取 值 范围 为 3 000 一 3 999 的 整数 
12-acl 指定 基于 二 层 ACL 对 报 文 进行 流 镜像 的 ACL 编号 , 取 值 范围 为 4 000 一 4 999 的 整数 
指定 基于 用 户 自 定义 ACL 对 报 文 进行 流 镜像 的 ACL 编号 ， 取 值 范围 为 5 000 一 5 999 
的 整数 
name 指定 基于 命名 型 ACL 对 报 文 进行 过 滤 。 其 中 ，acl-name 表示 ACL 的 名 称 ， 为 1 一 32 
acl-name “| 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 ， 且 要 以 英文 字母 a 一 z 或 A 一 Z 开始 
指定 基于 ACL 中 特定 规则 进行 报 文 流 镜像 的 规则 编号 。 对 于 IPv4 ACL， 取 值 范围 为 
0 一 4 294 967 294 的 整数 ， 对 于 IPv6 ACL， 取 值 范围 为 0 一 2 047 的 整数 
人 指定 报 文 镜像 到 的 全 局 观察 端口 的 索引 号 ， 要 先 配 置 好 对 应 索 引号 的 观察 端口 。 
，， | S2700/3700SI 5700SI/S700LIS700S-LI6700 系列 交换 机 仅 可 取 值 1，S5700HIS710EI 
Port 0-index | 系列 交换 机 可 以 取 值 1 或 2，S3700E1/5700EI 系列 交换 机 的 取 值 范围 为 1 一 4 的 整数 





























user-acl 











rule rule-id 








remote 指定 观察 端口 所 属 的 VLAN， 取 值 范 围 为 1 一 4094 的 整数 。 仅 S5700EL/ 
vlan-id 5700HI/S710E 


/6700 系列 交换 机 支持 此 可 选 参数 
【示例 1】 在 VLAN100 的 入 方向 配置 基于 ACL 的 流 镜像 功能 ， 将 匹配 ACL 3000 的 报 文 镜像 到 索引 为 1 
的 观察 端口 。 
<HUAWEI > System-view 
[HUAWEI] observe-port 1 interface gigabitethernet 0/0/1 
[HUAWEI] traffic-mirror vlan 100 inbound acl 3000 to observe-port 1 
2. 在 端口 上 应 用 基于 ACL 的 流 镜像 
在 端口 上 应 用 基于 ACL 的 流 镜像 的 配置 也 要 根据 不 同 S 系列 交换 机 选择 对 应 的 以 下 配置 命令 在 具体 的 
接口 视图 中 进行 。 
(1) 在 S2700-52P-EI/2700-52P-PWR-EI/2710SI3700SI3700EI 系 列 交 换 机 上 
执行 traffic-mirror inbound acl { { [ipv6 ] {bas-acl | adv-acl jnameacl-name } } | 12-acl | user-acl } [ rule rule- 
id ] to observe-porto-index 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流 镜 像 。 
执行 traffic-mirror inboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl ladv-acl |name acl-name} [ 
rule rule-id ] to observe-porto-index [ remote vlan-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 
进行 流 镜像 。 
(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 
执行 traffic-mirror inbound acl{ { [ipv6 ] { bas-acl | adv-acl |nameacl-name } } |12-acl } [ rule rule-id ] 
toobserve-porto-index 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流 镜 像 。 
(3) 在 S5700/6700 系 列 交换 机 上 
执行 traffic-mirror [vlan vlan-id ] inbound { acl { [ ipv6 ] {bas-acl | adv-acl |name acl-name } | 12-acl |user-acl 
} }[ rule rule-id ] to observe-porto-index [ remote vlan-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流 镜 




























































































































































































像 。 
根据 需要 选择 以 下 一 个 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进 行 流 镜像 。 


(1) traffic-mirror [vlanvlan-id ] inboundacl 12-acl [rule rule-id ] acl {bas-acl ladv-acl |name acl-name } [ rule 











rule-id ] to observe-porto-index [ remote vlan-id ] 
(2) traffic-mirror [vlan vlan-id ] inboundaclnameacl-name [ rule rule-id ] acl {bas- acl | adv-acl | 12-acl |name 
acl-name } [rule rule-id ] to observe-port o-index [ remote vlan-id ] 
以 traffic-mirror 命 令 中 的 参数 和 选项 说 明 参 见 表 9-13。 
【示例 2】 在 接口 GE0/0/1 的 入 方向 ， 配 置 基于 ACL 的 流 镜像 功能 。 配 置 匹 配 ACL 3000 的 报 文 ， 镜 像 到 
索引 为 1 的 观察 端口 。 
< HUAWEI > system-view 
[HUAWEI] observe-port 1 interface gigabitethernet 0/0/1 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] traffic-mirror inbound acl 3000 to observe-port 1 
























































9.3.5 配置 基于 ACEL 的 重 定向 




















通过 配置 基于 ACL 的 重 定 向 ， 将 匹配 ACL 规 则 的 报 文 重 定 向 到 CPU、 指 定 接口 或 指定 下 一 跳 地 址 〈 均 

仅 可 在 入 方向 上 应 用 ACL ) 。 在 配置 基于 ACEL 的 报 文 过 滤 之 前 ， 需 要 配置 好 相应 的 ACL 规 则 ， 但 每 个 调用 

的 ACL 仅 可 匹配 一 个 ACL 规 则 ， 当 ACL 中 包 括 有 许多 规则 时 ， 则 必须 指出 所 要 应 用 的 具体 ACL 规则 编 

号 。 但 在 S2700 系列 中 ， 只 有 S2700-52P-EI2700-52P-PWR-EI2710SI 系 列 交换 机 支持 基于 ACEL 的 重 定向 
1. 在 全 局 或 VLAN 上 应 用 基于 ACL 的 重 定向 

在 全 局 或 VLAN 上 应 用 基于 ACL 的 重 定向 配置 也 是 在 系统 视图 下 根据 不 同 S 系 列 交换 机 选择 以 下 不 同 命 

令 进行 的 。 

(1) 在 S2700-52P-EI2700-52P-PWR-EIS2710SI3700 系 列 交换 机 上 


执行 traffic-redirect [ vlan vlan-id ] inboundacl { [ ipv6 ] {bas-acl | adv-acl jname acl-name } | 12-acl |user-acl } 































































































































































































[rule rule-id ] { cpu | interface interface-type interface-number |ip-nexthop ip-nexthop | ipv6-nexthopipv6-nexthop } 
命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 重 定向 。 


执行 traffic-redirect [vlan vlan-id ] inbound acl { 12-acl |nameacl-name } [ rule rule- id ] acl { bas-acl | adv-acl 








[Inameacl-name } [ rule rule-id ] { cpu | interface interface-type interface-number | ip-nexthop ip-nexthop |ipv6- 
nexthop ipv6-nexthop } 命 令 对 同时 匹配 二 层 ACL 和 三 层 ACEL 的 入 方向 报 文 进 行 重 定向 。 
(2) 在 S5700SI5700LI5700S-LI 系 列 交换 机 上 
执行 traffic-redirect [ vlan vlan-id ] inboundacl { [ ipv6 ] {bas-acl | adv-acl name acl-name } | 12-acl |user-acl } 
} [rule rule-id ] { cpu | interface interface-type interface- number } 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 
重 定向 。 


执行 traffic-redirect [vlan vlan-id ] inbound acl { 12-acl Inameacl-name } [ rule rule- id ] acl { bas-acl | adv-acl 



































Inameacl-name } [ rule rule-id ] { cpu | interface interface-type interface-number } 命 令 对 同时 匹配 二 层 和 三 层 
ACL 规 则 的 入 方向 报 文 进行 重 定 向 。 
(3) 在 其 他 S5700/6700 系 列 交换 机 上 


执行 traffic-redirect [ vlan vlan-id ] inboundacl { [ ipv6 ] {bas-acl | adv-acl Iname acl-name } | 12-acl |user-acl } 











[ rule rule-id ] { cpu | interface interface-type interface-number |ip-nexthop ip-nexthop | ipv6-nexthopipv6-nexthop } 


人 人 
命令 


部 





匹配 单个 ACL 规 则 的 入 方向 报 文 进行 重 定向 。 





执行 traffic-redirect [vlan vlan-id ] inbound acl { 12-acl Inameacl-name } [rule rule- id ] acl { bas-acl | adv-acl 


|nameacl-name } [ rule rule-id ] { cpu | interface interface-type interface-number | ip-nexthop ip-nexthop |ipv6- 





nexthop ipv6-nexthop } 命 令 对 











以 上 traffic-redirect 命 令 中 的 








参数 








司 时 匹配 二 层 ACL 和 三 层 ACEL 的 入 方向 报 文 进行 重 定向 。 


参数 和 选项 说 明 如 表 9-12 所 示 。 
表 9-12 traffic-redirect 命 令 参 数 和 选项 说 明 


说 明 





vlan vian-id 


指定 要 应 用 基于 ACL 的 重 定向 的 VLAN 的 编号 ， 取 值 范 围 为 1 一 4 094 的 整数 





inbound 


指定 对 入 方向 的 报 文 进行 重 定向 





acl 


指定 基于 IPv4 ACL 对 报 文 进行 重 定向 





ipv6 


指定 基于 IPv6 ACL 对 报 文 进行 重 定向 





bas-acl 


指定 基于 基本 ACL 对 报 文 进行 重 定向 的 ACL 编号 ， 
整数 


取 值 范围 为 2 000 一 2 999 的 




















参数 说 明 
指定 基于 高 级 ACL 对 报 文 进行 重 定向 的 ACL 编号 ， 取 值 范围 为 3 000 一 3 999 的 
adv-acl 整数 
12-acl 指定 基于 二 层 ACL 对 报 文 进行 重 定向 的 ACL 编号 ， 取 值 范围 为 4 000 一 4 999 的 
<-GC 整 数 
人 指定 基于 用 户 自 定 义 ACL 对 报 文 进行 重 定向 的 ACL 编号 ， 取 值 范围 为 5 000 一 


5 999 的 整数 





name acl-name 


指定 基于 命名 型 ACL 对 报 文 进行 过 滤 。 其 中 , acl-name 表示 ACL 的 名 称 。 其 中 ， 
aci-name 表示 ACL 的 名 称 ， 为 1 一 32 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 ， 且 要 
以 英文 字母 a 一 z 或 A 一 Z 开始 





rule rule-id 


指定 基于 ACL 中 特定 规则 进行 报 文 重 定向 。 对 于 IPv4 ACL， 取 值 范围 为 0 一 
4 294 967 294 的 整数 ， 对 于 IPv6 ACL， 取 值 范围 为 0 一 2 047 的 整数 





cpu 


指定 将 报 文 重 定向 到 CPU 





interface 
interface-type 
interface-number 


指定 将 报 文 重 定向 到 接口 





ip-nexthop 
ip-nexthop 


指定 将 报 文 重 定 向 到 下 一 跳 IPv4 地 址 





ipv6-nexthop 
ipv6-nexthop 











指定 将 报 文 重 定向 到 下 一 跳 IPv6 地 址 























( 续 表 ) 


【示例 1】 在 VLAN100 的 入 方向 ， 配 置 基 于 ACEL 的 重 定向 功能 。 将 匹配 ACL 3000 的 报 文 ， 重 定向 到 接 





DGEO/0/1。 
<HUAWEI>system-view 








[HUAWEI] traffic-redirect vlan 100 inbound acl 3000 interface gigabitethernet 0/0/1 
2. 在 端口 上 应 用 基于 ACL 的 重 定向 


























在 端口 上 应 用 基于 ACL 的 习 





























接口 视图 下 进行 。 








EE 定向 的 配置 也 要 根 所 























(1) 在 S2700-52P-E1/2700-52P-PWR-ELS2710SI/3700 系 列 交换 机 上 
执行 traffic-redirect inbound acl { [ ipv6 ] {bas-acl | adv-acl |nameacl-name } | 12-acl |user-acl } [ rulerule-id ] 

{ cpu | interface interface-type interface-number | ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop } 命 令 对 匹配 
单个 ACL 规则 的 入 方向 报 文 进 行 重 定向 。 


执行 traffic-redirect inboundacl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl Iname acl-name } 





[rule rule-id ] { cpu | interface interface-type interface-number 











} 命 令 对 同时 匹配 二 层 ACL 和 三 








层 ACL 的 入 方向 报 文 进行 重 定向 。 





四 不 同 $ 系列 交换 机 选择 对 应 的 以 下 配置 命令 





ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop 


(2) 在 $S5700SI5700LI5700S-LI 系 列 交换 机 上 
执行 traffic-redirect inbound acl { [ ipv6 ] {bas-acl | adv-acl nameacl-name } | 12-acl | user-acl } [ rulerule-id ] 
{ cpu | interface interface-type interface-number } 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 重 定向 。 
执行 traffic-redirect inboundacl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl Iname acl-name } 
[ rule rule-id ] { cpu | interface interface-type interface-number } 命令 对 同时 匹配 二 层 和 三 层 ACL 规 则 的 入 方向 
报 文 进 行 重 定向 。 
(3) 在 其 他 S5700 系 列 和 S6700 系 列 交 换 机 上 


执行 traffic-redirect inbound acl { [ ipv6 ] {bas-acl | adv-acl |nameacl-name } | 12-acl |user-acl } [ rulerule-id ] 















































{ cpu | interface interface-type interface-number | ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop } 命 令 对 匹配 
单个 ACL 规则 的 入 方向 报 文 进行 重 定向 。 

执行 traffic-redirect inboundacl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl Iname acl-name } 
[rule rule-id ] { cpu | interface interface-type interface-number |ip-nexthop ip-nexthop | ipv6-nexthop ipv6-nexthop 
} 命 令 对 同时 匹配 二 层 ACL 和 三 层 ACL 的 入 方向 报 文 进行 重 定向 。 

以 上 traffic-redirect 命 令 中 的 参数 和 选项 说 明 参 见 表 9-14。 

【示例 2】 在 Eth0/0/1 接 口 入 方向 ， 配 置 基于 接口 的 报 文 重 定 向 功 能 。 配 置 ACL 3000 的 报 文 ， 重 定向 到 

Eth0/0/2 接 口 。 

<HUAWEI>system-view 

[HUAWEI]| interface ethernet 0/0/1 

[HUAWEI-Ethernet0/0/1] traffic-redirect inbound acl 3000 interface ethemet 0/0/2 







































































9.3.6 配置 基于 ACL 的 重 标记 


























通过 配置 基于 ACL 的 重 标 记 可 对 匹配 指定 ACL 规则 的 报 文 重 标记 其 优先 级 ， 如 VLAN 报 文中 的 
802.1p、IP 报 文中 的 DSCP 等 (S2700/3700 系 列 交 换 机 中 仅 可 在 入 方向 上 应 用 ACL)，( S5700/6700 系 列 交 换 
机 既 可 在 入 方向 ， 又 可 以 在 出 方向 上 应 用 ACL ) 。 在 配置 基于 ACL 的 报 文 过 滤 之 前 也 需要 配置 相应 的 
AcCL 规 则 ， 但 每 个 调用 的 ACL 仅 可 匹配 一 个 ACL 规 则 ， 当 AcCL 中 包括 有 许多 规则 时 ， 则 必须 指出 所 要 应 用 
的 具体 ACL 规 则 编号 。 

1. 在 全 局 或 VLAN 上 应 用 基于 ACL 的 重 标记 

在 全 局 或 VLAN 上 应 用 基于 ACL 的 重 标 记 配 置 也 是 在 系统 视图 下 根据 不 同 S 系 列 交换 机 选择 以 下 不 同 命 
令 进 行 的 。 

(1) 在 S2700-52P-EI/2700-52P-PWR-EI2710SI3700SI/3700EI 系 列 交换 机 上 


执行 traffic-remark [vlanvlan-id ] inboundacl{ { [ ipv6 ] {bas-acl ladv-acl |name acl-name } } | 12-acl |user-acl 
































































































































































































































} [rule rule-id ] {dscp {dscp-name |dscp-value } |8021p 8021p-value |destination-macmac-address | ip-precedence 
ip-precedence-value |vlan-idvlan-id |local-precedence local-precedence-value } 命 令 对 匹配 单个 ACL 规则 的 入 方 
向 报 文 进行 重 标记 。 


执行 traffic-remark [vlan vlan-id ] inboundacl{ 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl | adv-acl 




















Iname acl-name } [ rule rule-id ] {dscp {dscp-name | dscp-value } | 8021p8021p-value |destination-macmac-address | 
ip-precedence ip-precedence-value | vl an-idvlan-id | local-precedence local-precedence-value } 命 令 对 同时 匹配 二 
层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 重 定向 。 

(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 


执行 traffic-remark [vlan vlan-id ] inbound acl {{ [ipv6 ] {bas-acl | adv-acl name acl-name } } | 12-acl } [rule 

















rule-id ] {dscp { dscp-name | dscp-value } | 8021p8021p-value |vlan-id vlan-id | local-precedence local-precedence- 
value } 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 重 标记 。 


执行 traffic-remark [vlan vlan-id ] inbound acl {1]2-acl Inameacl-name } [ rule rule- id ] acl { bas-acl | adv-acl 




















|nameacl-name } [ rule rule-id ] {dscp { dscp-name| dscp-value } | 8021p8021p-value | vlan-id vlan-id | local- 
precedence local-precedence-value } 命令 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 重 定 向 。 
(3) 在 S5700/6700 系 列 交换 机 上 


执行 traffic-remark [vlan vlan-id ] inboundacl { [ ipv6 ] {bas-acl |adv-acl |name acl- name } | 12-acl luser-acl } 














[rule rule-id ] {8021p8021p-value |destination-macmac- address |dscp {dscp-name |dscp-value } | local-precedence 
local-precedence-value | ip- precedence ip-precedence-value | vlan-id vlan-id } 命 令 匹 配 单 个 ACL 规 则 的 入 方向 报 
文 进行 重 标记 。 

执行 traffic-remark [vlan vlan-id ] outboundacl{ [ ipv6 ] { bas-acl | adv-acl |name acl-name } | 12-acl } [rule 
rule-id ] {8021p8021p-value | cvlan-id cvlan-id |dscp {dscp-name |dscp-value } | vlan-id vlan-id } 命 令 对 匹配 单个 
ACL 规 则 的 出 方向 报 文 进行 重 标记 。 


执行 traffic-remark [vlan vlan-id ] inbound acl { 12-acl |nameacl-name } [ rule rule- id ] acl {bas-acl |ladv-acl 























|nameacl-name } [ rule rule-id ] {8021p8021p-value |destination- macmac-address |dscp {dscp-name |dscp-value } | 





local-precedence local-precedence-value lip-precedence ip-precedence-value | vlan-id vlan-id } 命 令 对 同时 匹配 二 
层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 重 定向 。 


执行 traffic-remark [vlan vlan-id ] outboundacl { 12-acl nameacl-name } [ rule rule- id ] acl { bas-acl | adv-acl 





|nameacl-name } [ rule rule-id ] {8021p8021p-value | cvlan-id cvlan-id |dscp { dscp-name | dscp-value } |vlan-id 
vlan-id } 命 令 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 出 方向 报 文 进行 重 定向 。 
以 上 traffic-remark 命 令 中 的 参数 和 选项 说 明 如 表 9-13 所 示 。 


























表 9-13 traffic-remark 命 令 参数 和 选项 说 明 





























参数 说 明 
vlan vlan-id 指定 要 应 用 基于 ACL 的 重 标记 的 VLAN 的 编号 ， 取 值 范围 为 1 一 4 094 的 整数 
inbound $§ 定 对 入 方向 的 报 文 进行 重 标记 | 
outbound 指定 对 出 方向 的 报 文 进行 重 标 记 
acl 此 定 基 于 IPv4 ACL 对 报 文 进行 重 标记 
ipv6 指定 基于 IPv6 ACL 对 报 文 进行 重 标 记 
peadl 指定 基于 基本 ACL 对 报 文 进行 重 标记 的 ACL 编号 ， 取 值 范围 为 2000~ 
2 999 的 整数 
首 定 基于 高 级 ACL 对 报 文 进行 重 标记 的 ACL 编号 ， 取 值 范围 为 3 000 一 
5 3 999 的 整数 
指定 基于 二 层 ACL 对 报 文 进行 重 标记 的 ACL 编号 ， 取 值 范围 为 4 000 一 








{2-acl 4 999 的 整数 











背 定 基于 用 户 自 定义 ACL 对 报 文 进行 重 标记 的 ACL 编号 ， 取 值 范围 为 
5 000 一 5 999 的 整数 








user-acl 





( 续 表 ) 





参数 说 明 

指定 基于 命名 型 ACL 对 报 文 进行 过 滤 。 其 中 ，acl-name 表示 ACL 的 名 称 。 
name acl-name 其 中 ，acl-name 表示 ACL 的 名 称 ， 为 1 一 32 个 字符 ， 不 支持 空格 ， 区 分 大 
小 写 ， 且 要 以 区 母 a 一 z 或 A 一 Z 开始 

指定 基于 ACL 中 特定 规则 进行 报 文 重 标记 。 对 于 IPv4 ACL, 取 值 范围 为 0 一 
4 294 967 294 的 整数 ， 对 于 IPv6 ACL， 取 值 范围 为 0 一 2 047 的 整数 

8021p 8021p-value “| 指定 重 标记 报 文 的 8021p 优先 级 ， 取 值 范围 为 0 一 7 的 整数 , 值 越 大 优先 级 越 高 
指定 重 标记 QinQ 报 文 中 的 内 层 VLAN 标签 ， 取 值 范围 为 1 一 4 094 的 整数 。 












rule rule-id 











cvlan-id 但 S2700/3700/$700SI/S700L1/S700S-LI 系列 交换 机 不 支持 重 标记 QinQ 报 文 
中 的 内 层 VLAN 标签 
PR 指定 重 标记 报 文 的 目的 MAC 地址 ， 格 式 为 H-H-H， 其 中 旦 为 1 至 4 位 的 
9estinationmae 。 | 十 六 进 制 数 。 但 S2700/3700/5700SI/5700LI5700S-LI 系列 交换 机 不 支持 重 
adcC-daddress 标记 报 文 的 目的 MAC 地 址 








指定 重 标记 报 文 的 DSCP 的 服务 类 型 。 可 以 为 DiffServ 编码 ， 整 数 形式 ， 取 值 
范围 是 0 一 63; 也 可 以 为 DSCP 的 服务 类 型 名 称 。 它 们 之 间 的 对 应 关系 为 afl1(10)、 
afl2 (12)、afl3 (14)、af21 (18)、af22 (20)、af23 (22)、af31 (26)、af32 (28)、 
af33 (30)、af41 (34)、af42 (36)、af43 (38)、cs1 一 cs7 《分别 对 应 8、16、24、 
32、40、48、56)、default (0)、ef (46)。 但 S2700 系列 不 支持 此 参数 
local-precedence | 指定 重 标记 报 文 的 本 地 优先 级 ， 取 值 范围 为 0~7 的 整数 ， 值 越 大 优先 级 越 高 
local-precedence-value 
ip-precedence 指定 重 标记 报 文 的 IP 优先 级 , 取 值 范围 为 0 一 7 的 整数 , 值 越 大 优先 级 越 高 ， 
zp-precedence-value | 但 S2700 系列 不 支持 此 参数 


dscp { dscp-name | 
dscp-value } 











vlan vlan-id 重 标记 后 的 VLAN 编号 ， 取 值 范围 为 1 一 4 094 的 整数 





























【示例 1】 在 VLAN100 的 入 方向 ， 配 置 基于 ACL 的 重 标记 功能 。 将 源 MAC 地 址 为 0-0-1 的 报 文 ， 重 标记 
VLAN ID 为 101。 
<HUAWEI>system-view 
[HUAWEI] acl 4001 
[HUAWEI-acl-L2-4001] rule 5permit source-mac 0-0-1 
[HUAWEI-acl-L2-4001] quit 
[HUAWEI] traffic-remark vlan 100 inbound acl 4001 rule 5 vlan-id 101 
2. 在 接口 上 应 用 基于 ACL 的 重 标 记 
在 端口 上 应 用 基于 ACL 的 重 标记 的 配置 也 要 根据 不 同 S 系列 交换 机 选择 对 应 的 以 下 配置 命令 在 具体 的 
接口 视图 下 进行 。 
(1) 在 S2700-52P-EI/2700-52P-PWR-EI/2710SI3700SI3700EI 系 列 交 换 机 上 


执行 traffic-remark inbound acl { { [ ipv6 ] {bas-acl | adv-acl |Inameacl-name } } | 12-acl | user-acl } [ rule rule- 






















































































id ] {dscp { dscp-name | dscp-value } | 8021p8021p-value |destination-macmac-address | ip-precedence ip- 
precedence-value | vlan-id vlan-id | loc al-precedencelocal-precedence-value } 命 令 对 匹配 单个 ACL 规 则 的 入 方向 
报 文 进行 重 标 记 。 


执行 traffic-remark inboundacl { 12-acl Inameacl-name } [rule rule-id ] acl {bas-acl | adv- acl Inameacl-name } 














[rulerule-id ] {dscp {dscp-name |dscp-value } |8021p8021p-value | destination- macmac-address | ip-precedence ip- 
precedence-value | vlan-id vlan-id | local-precedence 1 ocal-precedence-value } 命 令 对 同时 匹配 二 层 ACL 和 三 层 
ACL 规 则 的 入 方向 报 文 进 行 重 定向 。 
(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 
执行 traffic-remark inboundacl { { [ipv6 ] {bas-acl ladv-acl |nameacl-name } } | 12-acl } [ rule rule-id ] {dscp { 








dscp-name | dscp-value } | 8021p8021p-value |vlan-id vlan-id | local- precedence local-precedence-value } 命令 对 匹 
配 单个 ACL 规 则 的 入 方向 报 文 进行 重 标记 。 


执行 traffic-remark inboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl ladv-acl |nameacl-name } 








[rule rule-id ] {dscp {dscp-name |dscp-value } |8021p8021p-value |vlan-id vlan-id | local-precedence local- 
precedence-value } 命 令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 重 定向 。 
(3) 在 S5700/6700 系 列 交 换 机 上 


执行 traffic-remark inboundacl { [ ipv6 ] {bas-acl |adv-acl jnameacl-name } | 12-acl |user-acl } [ rule rule-id ] 











{8021p8021p-value |destination-macmac-address |dscp {dscp-name |dscp-value } | local-precedence local- 
precedence-value | ip-precedence ip- precedence-value |vlan-id vlan-id } 命 令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 
进行 重 标记 。 

执行 traffic-remarkoutbound acl{ [ ipv6 ] { bas-acl | adv-acl |nameacl-name } | 12-acl } [rule rule-id ] 
{8021p8021p-value |cvlan-idcvlan-id |dscp {dscp-name |dscp-value } | vlan-id vlan-id } 命 令 对 匹配 单个 ACL 规 则 
的 出 方向 报 文 进行 重 标记 。 


执行 traffic-remark inboundacl { 12-acl |nameacl-name } [rule rule-id ] acl {bas- acl ladv-acl Inameacl-name} 
























































[rulerule-id ] {8021p8021p-value |destination-macmac- address |dscp {dscp-name |dscp-value } | local-precedence 





local-precedence-value | ip-precedence ip-precedence- value |vlan-idvlan-id } 命 令 对 同时 匹配 二 层 ACL 和 三 层 
ACL 规 则 的 入 方向 报 文 进行 重 定向 。 

执行 traffic-remarkoutbound acl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas- acl | adv-acl Inameacl-name 
} [rule rule-id ] {8021p8021p-value | cvlan-id cvlan-id |dscp { dscp-name |dscp-value } |vlan-id vlan-id } 命 令 对 同 
时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 出 方向 报 文 进行 重 定向 。 

【示例 2】 在 接口 GE0/0/1 的 入 方向 ， 配 置 基于 ACL 的 重 标记 功能 。 将 源 MAC 地 址 为 0-0-1 的 报 文 ， 习 

标记 VLAN ID 为 100。 

< HUAWEI > system-view 

[HUAWEI] acl 4001 

[HUAWEI- acl-L2-4001] rule 5 permit source-mac 0-0-1 

[HUAWEI-acl-L2-4001] quit 

[HUAWEI] interface gigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] traffic-remark inbound acl 4001 rule 5 vlan-id 100 
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9.3.7 配置 基于 ACL 的 流量 统计 
























































通过 配置 基于 ACL 的 流量 统计 可 对 匹配 指定 ACL 规则 的 报 文 进行 流量 统计 “S2700/3700 系 列 交 换 机 
中 仅 可 在 入 方向 上 应 用 ACL ) ，《S5700/6700 系 列 交 换 机 既 可 在 入 方向 应 用 ACL， 又 可 以 在 出 方向 上 应 
用 ACL ) 。 在 配置 基于 ACL 的 报 文 过 滤 之 前 需要 配置 好 相应 的 ACL 规 则 ， 但 每 个 调用 的 ACL 仅 可 匹配 一 
个 ACL 规 则 ， 当 ACL 中 包括 许多 规则 时 ， 则 必须 指出 所 应 用 的 具体 ACL 规 则 编号 。 

1. 在 全 局 或 VLAN 上 应 用 基于 ACL 的 流量 统计 
在 全 局 或 VLAN 上 应 用 基于 ACL 的 流量 统计 配置 也 是 在 系统 视图 下 根据 不 同 S 系 列 交 换 机 选择 以 下 不 同 
命令 进行 的 。 

(1) 在 S2700-52P-EI/2700-52P-PWR-EI/2710SI3700SI3700EI 系 列 交 换 机 上 

执行 traffic-statistic [ vlan vlan-id ] inboundacl { { [ipv6 ] {bas-acl | adv-acl [name acl-name } } | 12-acl | user- 
acl } [rule rule-id ] [by-bytes ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 

执行 traffic-statistic [ vlan vlan-id ] inboundacl { 12-acl Inameacl-name } [ rule rule- id ] acl { bas-acl | adv-acl 
|nameacl-name } [rule rule-id ] [by-bytes ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 出 方向 报 文 进 行 流量 统 
利 寺 


















































































































































































































































(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 





执行 traffic-statistic [vlanvlan-id ] inboundacl { { [ ipv6 ] {bas-acl ladv-acl |nameacl-name } } | 12-acl } [rule 
rule-id ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 


执行 traffic-statistic [ vlan vlan-id ] inbound acl {]2-acl |nameacl-name } [ rule rule- id ] acl { bas-acl | adv-acl 














Inameacl-name } [ rule rule-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 

(3) 在 S5700/6700 系 列 交换 机 上 
执行 traffic-statistic [ vlan vlan-id ] inboundacl { [ ipv6 ] {bas-acl | adv-acl Iname acl-name } | 12-acl |user-acl } 
[rule rule-id ] [by-bytes ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 
执行 traffic-statistic [vlanvlan-id ] outboundacl { [ ipv6 ] {bas-acl ladv-acl Iname acl- name |12-acl |user-acl } } 
[rule rule-id ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 
执行 traffic-statistic [ vlan vlan-id ] inbound acl { 12-acl |nameacl-name } [ rule rule- id ] acl { bas-acl |adv-acl 
|nameacl-name } [ rule rule-id ] [by-bytes ] 命令 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 流量 
证 5 






































执行 traffic-statistic [vlan vlan-id ] outboundacl { 12-acl |nameacl-name } [ rule rule- id ] acl { bas-acl ladv-acl 
|nameacl-name } [rule rule-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 
以 上 traffic-statistic 命 令 中 的 参数 和 选项 说 明 如 表 9-14 所 示 。 














表 9-14 traffic-statistic 命 令 参 数 和 选项 说 明 























参数 


vlan vian-id 






说 明 

指定 要 应 用 基于 ACL 的 流量 统计 的 VLAN 编号 ， 取 值 范围 为 1 一 4 094 的 整数 

inbound 表示 对 入 方向 的 报 文 进行 流量 统 i 

outbound 表示 对 出 方向 的 报 文 进行 流 
acl 指定 基于 IPv4 ACL 对 报 文 进行 流量 统计 




































ipv6 指定 基于 IPv6 ACL 对 报 文 进行 流量 统 
本 指定 基于 基本 ACL 对 报 文 进行 流量 统计 的 ACL 编号 ， 取 值 范围 为 2 000 一 2 999 
人 的 整数 
ey 指定 基 于 高 级 ACL 对 报 文 进行 流量 统计 的 ACL 编号 ， 取 值 范围 为 3 000 一 3 999 
的 整数 
12-acl 指定 基于 二 层 ACL 对 报 文 进行 流量 统计 的 ACL 编号 ， 取 值 范围 为 4000 一 4 999 的 整数 
rt 指定 基于 用 户 自 定义 ACL 对 报 文 进行 流量 统计 的 ACL 编号 ， 取 值 范围 为 5 000 一 


5 999 的 整数 





指定 基 
32 个 
$§ 定 基于 ACL 中 特定 规则 进行 报 文 流量 统计 。 对 于 IPv4 ACL， 取 值 范围 为 0 一 
4 294 967 294 的 整数 ， 对 于 IPv6 ACL， 取 值 范 围 为 0 一 2 047 的 整数 

指定 按照 字 节 数量 统计 。 缺 省 情况 下 ， 按 照 报 文 数量 (packets) 进行 统计 。 指 定 
by-bytes 参数 ， 将 按照 字 节 数量 进行 统计 


【示例 1】 在 VLAN100 的 入 方向 ， 配 置 基于 ACEL 的 流量 统计 ， 统 计 匹 配 ACL3000 中 rulel 规 则 的 报 文 数 


于 命名 型 ACL 对 报 文 进行 过 滤 。 其 中 ，acl-name 表示 ACL 的 名 称 ， 为 1 一 
符 ， 不 支持 空格 ， 区 分 大 小 写 ， 且 要 以 英文 字母 a 一 z 或 A 一 Z 开始 


name acl-name 











rule rule-id 











by-bytes 























al 





<HUAWEI>system-view 
[HUAWEH traffic-statistic vlan 100 inbound acl 3000 rule 1 
2. 在 接口 上 配置 流量 统计 
在 端口 上 应 用 基于 ACL 的 流量 统计 的 配置 也 要 根据 不 同 S 系列 交换 机 选择 对 应 的 以 下 配置 命令 在 具体 
的 接口 视图 下 进行 。 
(1) 在 S2700-52P-EI/2700-52P-PWR-EI/2710SI3700SI3700EI 系 列 交 换 机 上 
执行 traffic-statistic inboundacl { { [ipv6 ] {bas-acl ladv-acl Inameacl-name } } | 12-acl |user-acl } [rule rule-id 
] [by-bytes ] 命令 对 匹配 单个 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 
执行 traffic-statistic inbound acl { 12-acl |name acl-name } [ rule rule-id ] acl {bas- acl | adv-acl Inameacl-name 
} [rule rule-id ] [by-bytes ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 
(2) 在 除 S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 之 外 的 其 他 S2700EI 系 列 交换 机 上 
执行 traffic-statistic inbound acl { { [ipv6 ] {bas-acl | adv-acl lInameacl-name } } | 12-acl } [ rule rule-id ] 命令 


对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 




















































































































执行 traffic-statistic inboundacl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl Iname acl-name } 
[ rule rule-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 
(3) 在 S5700/6700 系 列 交 换 机 上 
执行 traffic-statistic inboundacl { [ ipv6 ] {bas-acl ladv-acl |nameacl-name } | 12-acl |user-acl } [rulerule-id ] 
[by-bytes ] 命令 对 匹配 单个 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 
执行 traffic-statistic outbound acl { [ ipv6 ] {bas-acl | adv-acl nameacl-name } | 12-acl } [ rule rule-id ] 命令 对 
匹配 单个 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 
执行 traffic-statistic inboundacl { 12-acl |nameacl-name } [ rule rule-id ] acl {bas-acl |adv-acl Iname acl-name } 
[rule rule-id ] [by-bytes ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 入 方向 报 文 进行 流量 统计 。 
执行 traffic-statistic outbound acl { 12-acl Inameacl-name } [ rule rule-id ] acl {bas- acl | adv-acl |nameacl- 
name } [rule rule-id ] 命令 对 同时 匹配 二 层 ACL 和 三 层 ACL 规 则 的 出 方向 报 文 进行 流量 统计 。 
【示例 2】 在 接口 GE0/0/1 的 入 方向 ， 配 置 基 于 ACL 的 流量 统计 功能 ， 统 计 匹 配 ACL 3000 中 rule 1 规则 
的 报 文 数量 。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] traffic-statistic inbound acl 3000 rule 1 
3. 基于 ACL 的 流量 统计 管理 
配置 好 基于 ACL 的 流量 统计 后 ， 可 执行 以 下 任意 视图 display traffic-statistics 命 令 查 看 设备 上 基于 ACL 的 
报 文 过 小 的 流量 统计 信息 。 
说 明 
除 S2700-52P-EI 和 S2700-52P-PWR-EI 系列 之 外 的 其 他 S2700EI 系列 交换 机 不 支持 user-acl 参 数 。 
S2700/3700 系 列 交换 机 中 不 支持 outbound 选 项 ， 即 不 支持 出 方向 的 流量 统计 。 
(1) display traffic-statistics [vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } 


[ acl { bas-acl | adv-acl | user-acl } [ rule rule-id ] ] 





























































































































































































































(2) display traffic-statistics [vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } 
[acl {acl-name |12-acl } [ rule rule-id ] [ acl {bas-acl | adv-acl lacl-name } [ rule rule-id ] ] ] 

(3) display traffic-statistics interface { inbound | outbound } 

(4) display traffic-statistics [vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } 
[ acl ipv6 {bas-acl | adv-acl | acl-name } [ rule rule-id ] ] 

【示例 3】 查 看 接口 GE0/0/1 入 方向 上 基于 ACL 3009 的 流量 统计 信息 。 输 出 信息 中 的 字段 说 明 如 表 9-15 
所 示 。 

< HUAWEI > system-view 






































[HUAWEI] display traffic-statistics inbound acl 3009 
ACL:3009 Rule:1 


matched:0 packets, passed:0 packets, dropped:0 packets 





表 9-15 display traffic-statistics 命 令 输出 信息 字段 说 明 


























字段 说 明 

ACL 显示 应 用 的 ACL 的 编号 | 
Rule 显示 应 用 的 ACL 规则 ID 

matched 显示 匹配 ACL 规则 的 报 文 数量 | 
passed 显示 通过 报 文 的 数量 | 
dropped 显示 丢弃 报 文 的 数量 




















也 可 执行 以 下 reset traffic-statistics 用 户 视图 命令 清除 设备 上 基于 ACEL 的 报 文 过 滤 的 流量 统计 信息 。 


(1) reset traffic-statistics [ vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } [ 





acl { bas-acl| adv-acl | user-acl } [rule rule-id ] ] 

(2) reset traffic-statistics [ vlan vlan-id | interface interface-type interface-number ] { inbound | outbound } [ 
acl {acl-name| 12-acl } [ rule rule-id | [acl { bas-acl | adv-acl lacl-name } [rule rule-id ] ] ] 

(3) reset traffic-statistics { interface | }{ inbound |outbound } 

(4) reset traffic-statistics [vlanvlan-id | interface interface-type interface-number ] { inbound |outbound } [ 


acl ipv6 {bas-acl | adv-acl | acl-name } [ rule rule-id ] ] 





9.4 ACL 配 置 示例 





























为 了 使 大 家 对 ACL 配 置 和 应 用 有 一 个 全 面 的 理解 ， 下 面 分 别 介 绍 基本 ACL、 高 级 ACL、 二 层 ACL 和 用 
户 自 定义 ACL 的 配置 方法 。 
































9.4.1 基本 ACL 配 置 示例 











本 示例 拓扑 结构 如 图 9-1 所 示 ，Switch 作 为 FTP 服 务 器 〈172.16.104.110/24) ， 已 知 Switch 与 各 个 子 网 之 
间 路 由 可 达 。 现 要 通过 基本 ACL 过 滤 用 户 访问 FTP 服 务 器 时 报 文 中 源 耳 地址， 限制 用 户 访问 交换 机 上 FTP 服 
务 器 的 权限 ， 有 具体 要 求 如 下 。 

(1) 子 网 1 《172.16.105.0/24) 的 所 有 用 户 在 任意 时 间 都 可 以 访问 FTP 服 务 器 。 

(2) 子 网 2 〈172.16.107.0/24) 的 所 有 用 户 只 能 在 某 一 个 时 间 范 围 内 访问 FTP 服 务 器 。 

(3) 其 他 用 户 不 可 以 访问 FTP 服 务 器 。 

说 明 
在 华为 $ 系 列 交换 机 的 许多 种 登录 〈 如 Telnet、STelnet、HTTP、HTTPS、FTP 和 FTPS 等 ) 、 访 问 中 都 
可 以 通过 ACL 进 行 用 户 权 限 控制 ， 具 体 参 见 本 书 第 3 章 相 关内 容 。 




















































































































PCA 
172.16.105.111/24 | 
FTP Server 
PCB > 
172.16.107.111/24 eh 
Switch 
pCC 172.16.104.110/24 
10.10.10.1/24 





图 9-1 基本 ACL 应 用 示例 拓扑 结构 























1. 基本 配置 思路 分 析 
本 示例 的 基本 配置 思路 如 下 。 
(1) 在 Switch 上 创建 基本 ACL， 并 通过 三 条 基本 ACL 规 则 中 分 别 对 3 个 子 网 用 户 发 送 的 报 文 中 的 源 IP 地 



































































































































vo 
注 


址 进行 过 滤 〈 其 实 就 是 一 种 访问 授权 ) ， 然 后 为 允许 子 网 2 中 的 用 户 访问 FTP 服 务 器 配置 一 个 基本 ACL 4 
时 间 段 。 

(2) 在 Switch 上 启用 FTP 功 能 。 

(3) 在 Switch 的 FTP 服 务 器 上 调用 上 面 所 创建 的 基本 ACL， 对 网 络 中 不 同 用 户 的 FTP 服 务 器 访问 进行 控 













































































2. 具体 配置 步骤 
F 面 是 具体 的 配置 步骤 。 
(1) 配置 用 于 允许 子 网 2 用 户 访问 FTP 服 务 器 的 ACL 生 效 时 间 段 。 假 设 为 从 2013 年 1 月 1 日 开始 到 2013 绊 
12 月 31 日 ， 每 个 双休日 的 下 午 2 点 到 下 午 6 点 生效 。 
<HUAWEI > System-View 
[HUAWEI] sysname Switch 
[Switch] time-range ftp-access from 0:0 2013/1/1 to 23:59 2013/12/31 #--- 配 置 时 段 时 间 段 范围 为 2013 年 1 
月 1 日 0 时 开始 到 2013 年 12 月 31 日 23 时 59 分 结束 
[Switch] time-range ftp-access 14:00 to 18:00 off-day #--- 配 置 每 个 周 六 、 周 日 的 下 午 2 点 到 下 午 6 点 的 时 
间 段 
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(2) 配置 基本 ACL。 
[Switch] acl number 2001 
[Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255 ”#--- 允 许 子 网 1 用 户 的 报 文通 过 
[Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access  #--- 允 许 子 网 2 中 的 
| 户 报 文 在 名 为 ftp-access 的 时 间 段 通过 
[Switch-acl-basic-2001] rule deny source any #--- 禁 止 其 他 所 有 用 户 的 报 文通 过 
[Switch-acl-basic-2001] quit 
(3) 启用 FTP 服 务 器 功能 。 
[Switch] ftp server enable 
(4) 在 FTP 服 务 器 的 访问 中 调用 前 面 的 基本 ACL。 
[Switch] ftp acl 2001 
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9.4.2 高 级 ACL 配 置 示例 

















本 示例 拓扑 结构 如 图 9-2 所 示 ，Switch 为 S5700 系列 交换 机 堆 著 系统 ， 是 一 个 高 级 ACL 应 用 示例 。 要 求 
禁止 研 发 部 门 和 市 场 部 门 在 上 班 时间 (8:00 至 17:30) 访问 工资 查询 服务 器 (IP 地址 为 10.164.9.9) ， 而 总 裁 
办 公 室 不 受 限制 ， 可 以 随时 访问 。 























3 工资 查询 服务 器 


10.164.9.9 






GE1/0/1 






Switch 






GE1/0/3 


市 场 部 门 
10.164.2.0/24 


总 裁 办 公 室 
10.164.1.0/24 


研发 部 门 
10.164.3.0/24 


图 9-2 高 级 ACL 配 置 示例 拓扑 结构 

















1. 基本 配置 思路 分 析 









































本 示例 要 求 控 制 指 定 源 耳 地 址 的 用 户 访问 指定 目的 卫 地 址 的 主机 ， 所 以 必须 配置 高 级 ACL。 这 里 可 以 采 
取 两 种 配置 方法 : 一 是 通过 前 面 介绍 的 基于 ACL 的 简化 流 策略 ， 在 连接 工资 查询 服务 器 的 交换 机 GE2/0/1 端 










































































当 采 用 基于 ACL 的 简化 流 策略 配置 方法 时 ， 基 本 的 配置 思路 如 下 。 
(1) 配置 ACL 生 效 时 间 段 。 
(2) 配置 所 需 的 两 条 高 级 ACL (包括 ACL 规 则 〉。 
































口 或 者 两 部 门 各 自 所 连接 的 GE1/0/2 和 GE1/0/3 端 口 入 方向 上 应 用 所 配置 的 高 级 ACL; 二 是 通过 QoS 流 策略 。 


(3) 在 交换 机 GE1/0/2 和 GE1/0/3 端 口 入 方向 上 分 别 应 用 所 配置 的 对 应 高 级 ACL 。 


















































如 果 是 采用 QoS 流 策略 配置 方法 ， 则 基本 的 配置 思路 如 下 。 
(1) 配置 AcL 生 效 时 间 段 。 

(2) 配置 所 需 的 两 条 高 级 ACL (包括 ACL 规 则 ) 。 

(3) 配置 根据 上 述 高 级 ACL 进 行 的 流 分 类 。 

(4) 配置 对 上 述 流 分 类 采取 拒绝 的 流行 为 。 







































































(5) 配置 并 在 研发 部 门 和 市 场 部 门 连接 的 交换 机 端口 上 应 用 QoS 流 策略 。 














说 明 



































QoS 策略 的 配置 包括 定义 流 分 类 、 定 义 流 行为 、 创 建 QoS 流 策略 和 应 用 QoS 流 策略 这 四 项 主要 任务 ， 有 具 








体 将 在 第 10 章 介绍 。 
2. 有 具体 配置 步骤 
下 面 分 别 介绍 以 上 两 种 配置 方法 。 
(1) 基于 ACEL 的 简化 策略 的 配置 方法 
Q 配置 ACL 生 效 时 间 段 。 






















































































日 的 8:00 至 17:30 的 时 间 段 





[HUAWEI] time-range satime 8:00 to 17:30 working-day #--- 配 置 在 工作 

@ 配置 两 条 ACL 及 其 规则 。 

[HUAWEI] acl 3002 

[HUAWEI-acl-adv-3002] rule deny ip source 10.164.2.0 0.0.0.255 destinatio 
satime #--- 配 置 禁止 市 场 部 门 访 问 工资 奋 询 服务 器 的 访问 规则 

[HUAWEI-acl-adv-3002] quit 

[HUAWEI] acl 3003 




















n 10.164.9.9 0.0.0.0 time-range 


[HUAWEI-acl-adv-3003] rule deny ip source 10.164.3.0 0.0.0.255 destination 10.164.9.9 0.0.0.0 time-range 


satime 


#--- 配 置 禁止 研发 部 门 到 工资 查询 服务 器 的 访问 规则 





[HUAWEI-acl-adv-3003] quit 
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在 端口 上 应 用 ACL。 























如 果 采 用 第 一 种 方法 ， 需 分 别 在 交换 机 GE1/0/2 和 GE1/0/3 端 口 入 方向 上 应 | 






































选择 使 | 























[HUAWEI] interface GigabitEthernet 1/0/2 
[HUAWEI-GigabitEthernet1/0/2] traffic-filter inbound acl 3002 
[HUAWEI-GigabitEthernet1/0/2] quit 

[HUAWEI] interface GigabitEthernet 1/0/3 
[HUAWEI-GigabitEthernet1/0/3] traffic-filter inbound acl3003 
[HUAWEI-GigabitEthernet1/0/3] quit 


(2 























) 基于 QoS 流 策略 的 配置 方法 
























































] 所 配置 的 高 级 ACL。 可 随便 









































jtraffic-filter 或 者 traffic-secure 命 令 对 三 层 报 文 进行 过 滤 。 下 面 仅 以 traffic-filter 命 令 为 例 进行 介绍 。 


如 果 采 用 第 二 种 方法 ， 首 先 也 需要 按照 前 面 介绍 的 第 由 和 第 他 步 配置 好 ACL 生效 时 间 段 和 两 条 高 级 
ACL， 然 后 还 需要 按照 以 下 的 步骤 配置 好 流 分 类 、 流 行为 和 流 策略 ， 最 后 在 两 部 门 连接 的 交换 机 端口 入 方 
































向 上 应 


j 对 应 的 流 策 略 。 








定义 基于 ACL 的 流 分 类 。 
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配置 流 分 类 c_market， 对 匹配 ACL 3002 的 报 文 进行 分 类 


[HUAWEI]| traffic classifier c_market 
[HUAWEI-classifier-c_market] if-match acl 3002 
[HUAWEI-classifier-c_market] quit 


HE 




















配置 流 分 类 c_rd， 对 匹配 ACL 3003 的 报 文 进行 分 类 。 





[HUAWEI]| traffic classifier c_rd 
[HUAWEI-classifier-c_rd| if-match acl 3003 
[HUAWEI-classifier-c_rd] quit 

@) 定义 流行 为 。 

#--- 定 义 流行 为 b_market， 动 作为 拒绝 报 文通 过 。 
[HUAWEI] traffic behaviorb_market 
[HUAWEI-behavior-b_market] deny 
[HUAWEI-behavior-b_market] quit 

#--- 定 义 流行 为 5_rd， 动 作为 拒绝 报 文通 过 。 
[HUAWEI] traffic behaviorb_rd 
[HUAWEI-behavior-b_rd] deny 
[HUAWEI-behavior-b_rd] quit 

@) 创建 流 策略 ， 对 以 上 流 分 类 和 流行 为 进行 关联 。 





















































#--- 





配置 流 策略 p_market， 将 流 分 类 c_market 与 流行 为 b_market 关 联 。 


[HUAWEI] traffic policy p_market 


[HU 
[HU 


AWEI-trafficpolicy-p_market] classifier c_marketbehaviorb_market 


AWEI-trafficpolicy-p_market] quit 











#--- 


配置 流 策略 p_rd， 将 流 分 类 c_rd 与 流行 为 b_rd 关 联 。 











[HUAWEI] traffic policy p_rd 
[HUAWEI-trafficpolicy-p_rd] classifier c_rd behaviorb_rd 
[HUAWEI-trafficpolicy-p_rd] quit 

@ 在 对 应 端口 上 应 用 流 策 略 。 

#--- 将 流 策略 p_market 应 用 到 GE1/0/2 接 
[HUAWEI] interface gigabitethernet 1/0/2 

[HUAWEI-GigabitEthernet1/0/2] traffic-policy p_market inbound 

[HUAWEI-GigabitEthernet1/0/2] quit 

#--- 将 流 策略 p_rd 应 用 到 GE1/0/3 接 口 。 

[HUAWEI] interface gigabitethernet 1/0/3 

[HUAWEI-GigabitEthernet1/0/3] traffic-policy p_rd inbound 

[HUAWEI-GigabitEthernet1/0/3] quit 

以 上 就 是 两 种 方法 的 全 部 配置 。 配 置 完成 后 可 以 用 display acl all 命 令 查 看 ACL 配 置信 息 ， 以 验证 配置 结 
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林 。 


9.4.3 二 层 ACL 配 置 示例 





























本 示例 如 图 9-3 所 示 ，Switch 作 为 网 关 设 备 ， 下 挂 用 户 PC。 现 要 求 配置 ACL， 禁 止 源 MAC 地 址 为 00e0- 


De 


f201-0101、 目 的 MAC 地 址 为 0260-e207-0002 的 报 文通 过 。 
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00e0-f201-0101 


图 9-3 二 层 ACL 配 置 示例 拓扑 结构 























1. 基本 配置 思路 分 析 

本 示例 同样 有 两 种 配置 方法 ， 即 基于 ACL 的 简化 策略 法 和 QoS 流 策略 法 。 下 面 分 别 予 以 介绍 其 基本 配 
置 思路 。 

如 果 采 用 基于 ACL 的 简化 策略 配置 方法 ， 则 基本 配置 思路 如 下 。 

(1) 配置 所 需 的 二 层 ACL (包括 ACL 规 则 》〉。 

(2) 在 交换 机 GE2/O/1 接 口上 应 用 上 面 所 配置 的 二 层 ACL。 

如 果 采 用 的 是 QoS 流 策 略 配置 方法 ， 则 基本 配置 思路 如 下 。 

(1) 配置 所 需 的 二 层 ACL (包括 ACL 规 则 )〉。 

(2) 然后 同样 是 QoS 流 策 略 的 四 大 配置 任务 : 定义 基于 以 上 二 层 ACL 的 流 分 类 ， 定 义 一 个 所 需 的 流行 
为 ， 创 建 一 个 QoS 流 策略 ， 将 前 面 定义 的 流 分 类 和 流行 为 关联 起 来 ， 在 交换 机 接口 上 应 用 所 创建 的 QoS 流 策 
略 。 

2. 具体 配置 步 又 
下 面 同样 介绍 以 上 两 种 配置 方法 的 具体 配置 步 又 。 
(1) 基于 ACL 的 简化 策略 的 配置 方法 
Q 配置 符合 要 求 的 二 层 ACL。 因 为 要 匹配 的 仅 是 一 个 MAC 地 址 ， 所 以 源 MAC 地 址 和 MAC 地 址 的 掩 码 





















































































































































































































































































































































均 为 0xffff-ffff-ffff。 
<HUAWEI>system-view 
[HUAWEI] acl 4000 
[HUAWEI-acl-L2-4000] rule deny source-mac 00e0-f201-0101 ffff-ffff-ffffdestination-mac 0260-e207-0002 
ffff-ffff-ffff 
[HUAWEI-acl-L2-4000] quit 
@ 在 GE2/0/1 端 口上 应 用 以 上 配置 的 二 层 ACL 4000。 同 样 ， 可 随便 选择 使 用 traffic-filter 或 者 traffic- 
secure 命 令 对 二 层 报 文 进行 过 滤 。 下 面 仅 以 traffic-secure 命 令 为 例 进行 介绍 。 
[HUAWEI] interface GigabitEthernet 2/0/1 
[HUAWEI-GigabitEthernet2/0/1] traffic-secure inbound acl 4000 
[HUAWEI-GigabitEthernet2/0/1] quit 
(2) 基于 QoS 流 策略 的 配置 方法 
首先 也 是 要 按照 上 面 介 绍 的 配置 好 二 层 ACL 及 其 规则 。 然 后 进行 以 下 配置 。 
Q 配置 流 分 类 tc1， 对 匹配 ACL 4000 的 报 文 进行 分 类 。 
[HUAWEI]| traffic classifier tc1 
[HUAWEI-classifier-tc1] if-match acl 4000 
[HUAWEI-classifier-tc1] quit 
@ 定义 流行 为 tb1， 动 作为 拒绝 报 文通 过 。 
[HUAWEI]| traffic behavior tb1 
[HUAWEI-behavior-tb1] deny 
[HUAWEI-behavior-tb1] quit 
@@ 创建 流 策略 tp1， 将 流 分 类 tc1 与 流行 为 tb1 关 联 。 
[HUAWEI] traffic policy tp1 
[HUAWEI-trafficpolicy-tp1] classifier tclbehavior tb1 
[HUAWEI-trafficpolicy-tp1] quit 
由 将 流 策略 tp1l 应 用 到 GE2/0/1 接 口 。 
[HUAWEI] interface gigabitethernet 2/0/1 
[HUAWEI-GigabitEthermet2/0/1|] traffic-policy tp1 inbound 
[HUAWEI-GigabitEthernet2/0/1] quit 
以 上 就 是 本 示例 的 全 部 配置 步 又 。 

























































































































































































9.4.4 用 户 自 定义 ACL 配 置 示例 












































本 示例 拓扑 结构 如 图 9-4 所 示 ，Switch 的 GE1/0/1 接 口 连 接 用 户 ，GE2/0/1 接 口 连 接 上 层 路 由 器 。 要 求 在 
接口 GELOM 下 绑 定 用 户 自 定义 ACL， 从 二 层 报 文 头 偏 移 14 个 字 节 开始 匹配 ， 拒 绝 匹配 成 功 的 报 文通 过 ， 匹 
配 的 字符 串 内 容 为 0x0180C200 〈 共 4 个 字 节 ) 。 
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图 9-4 用 户 自 定义 ACL 配 置 示例 拓扑 结构 

















下 面 同样 以 基于 ACL 的 简化 策略 和 基于 QoS 策略 这 两 种 配置 方法 为 例 进行 介绍 ， 配 置 思路 与 前 面 两 节 
介绍 的 配置 示例 中 的 配置 思路 一 样 ， 不 同 的 只 是 所 配置 的 ACL 类 型 不 同 ， 本 示例 所 配置 的 是 用 户 自 定义 
ACL。 下 面 直接 介绍 具体 的 配置 步 又 。 

1. 基于 ACL 的 简化 策略 的 配置 步 又 

(1) 配置 符合 要 求 的 用 户 自 定义 ACL。 

[HUAWEI] acl 5000 

[HUAWEI-acl-user-5000] rule deny 12-head 0x0180C200 Oxffffffff 14 

[HUAWEI-acl-user-5000] quit 

(2) 在 Switch 的 GE1/0/1 端口 上 应 用 上 面 创建 的 用 户 自 定义 ACL。 下 面 仅 以 traffic-secure 命 令 为 例 进 
行 介绍 。 

[HUAWEH interface GigabitEthernet 1/0/1 

[HUAWEI-GigabitEthernet1/0/1] traffic-secure inbound acl 5000 

[HUAWEI-GigabitEthernet1/0/1] quit 

2. 基于 QoS 流 策略 的 配置 步 又 

首先 也 是 按照 上 面 介 绍 的 配置 好 二 层 ACL 及 其 规则 。 然 后 进行 以 下 配置 。 

(1) 配置 流 分 类 tc1， 对 匹配 ACL 5000 的 报 文 进行 分 类 。 

[HUAWEI]| traffic classifier tc1 

[HUAWEI-classifier-tc1] if-match acl 5000 

[HUAWEI-classifier-tc1] quit 

(2) 定义 流行 为 tb1， 动 作为 拒绝 报 文通 过 。 

[HUAWEI] traffic behavior tb1 

[HUAWEI-behavior-tb1l] deny 

[HUAWEI-behavior-tb1] quit 

(3) 创建 流 策略 ， 将 流 分 类 与 流行 为 关联 。 

[HUAWEI] traffic policy tp1 

[HUAWEI-trafficpolicy-tp1] classifier tclbehavior tb1 

[HUAWEI-trafficpolicy-tp1] quit 

(4) 在 接口 GE1/0/1 下 应 用 流 策略 。 

[HUAWEI] interfacegigabitethernet 1/0/1 

[HUAWEI-GigabitEthernet1/0/1] traffic-policy tp1 inbound 

[HUAWEI-GigabitEthernet1/0/1] quit 
















































































































































































































































































































































































以 上 就 是 本 示例 的 全 部 配置 步骤。 





9.5 自 反 ACL 














自 反 ACL (Reflective ACL ) 是 动态 ACL 技 术 的 一 种 应 用 。 它 根据 他 报 文 的 上 层 会 话 信息 生成 ， 只 有 当 
私 网 用 户 先 访问 了 公 网 后 才 人 允许 对 应 的 公 网 用 户 访 问 本 地 私 网 。 利 用 自 反 ACL 可 以 很 好 地 保护 企业 内 部 网 
络 免 受 外 部 非法 用 户 的 攻击 。 但 要 注意 ， 只 能 针对 高 级 ACL 或 者 高 级 ACL6 进 行 自 反 ACL ， 并 且 只 能 根据 
TCP、UDP 和 ICMP 协 议 类 型 的 报 文 自动 生成 ACL 规 则 ， 在 华为 $ 系 列 交换 机 中 仅 S7700/9300/9700 系 列 支 
持 。 










































































9.5.1 自 反 ACEL 的 基本 工作 原理 














自 反 ACL 有 以 下 两 个 显著 的 特点 。 

(1) 由 内 网 始 发 的 流量 到 达 配 置 了 自 反 ACL 功 能 的 设备 后 ， 设 备 根据 此 流量 的 第 三 层 和 第 四 层 信 息 自 
动 生成 一 个 临时 性 的 反 向 ACL， 并 保持 一 段 时 间 。 此 临时 性 ACL 规 则 中 的 协议 类 型 不 变 ， 源 IP 地 址 和 目的 IP 
地 址 ， 以 及 源 端口 与 目的 端口 与 始 发 ACL 规 则 对 调 。 
(2) 当 对 端 设 备 发 出 的 响应 报 文 到 达 配 置 了 自 反 ACL 功能 的 设备 时 ， 会 自动 根据 这 个 临时 性 的 ACL 
人 允许 响应 通信 通过 。 那 么 设备 是 如 何 确定 该 响应 通信 是 始 发 ACL 通 信 的 响应 通信 呢 ? 它 是 依据 响应 报 文中 
的 第 三 、 四 层 信 息 与 先前 始 发 ACL 通 信 报 文中 的 第 三 、 四 层 信 息 是 否 严格 匹配 来 判定 的 。 不 完全 匹配 的 不 
允许 访问 ， 这 样 既 保证 了 外 网 响应 流量 通过 ， 又 拒绝 了 非法 的 外 网 用 户主 动 访问 。 

根据 不 同 的 匹配 规则 ， 自 反 ACL 的 实现 原理 如 下 。 

(1)〉 当 配置 自 反 ACL 功 能 的 接口 通过 TCP 或 UDP 协 议 类 型 的 报 文 时 ， 接 口 将 下 发 一 条 报 文 源 IP 地 址 和 
目的 JP 地 址 、 源 端口 和 目的 端口 互 换 的 ACL 规 则 。 

(2) 当 配 置 自 反 ACL 功 能 的 接口 通过 ICMP 协 议 类 型 的 报 文 时 ， 自 反 ACL 功 能 阻止 目的 端 发 送 的 ICMP- 
Echo-Request 报 文通 过 ， 人 允许 接收 目的 端 发 送 的 ICMP-Echo-Reply 报 文 。 

(3) 自 反 ACL 匹 配 的 协议 类 型 与 触发 接口 自动 生成 自 反 ACL 的 报 文 协议 类 型 相同 。 

如 图 9-5 所 示 ， 在 交换 机 上 配置 自 反 ACL 功 能 后 ， 外 网 无 法 主动 访问 内 网 。 这 时 ， 一 个 源 IP IPa， 源 端 
口 Porta， 目 的 IPIPb， 目 的 端口 Portb 的 报 文 发 往外 网 ， 设 备 会 自动 生成 一 条 自 反 ACL 的 规则 ， 人 允许 源 人 P 
IPb， 源 端口 Portb， 目 的 IPIPa， 目 的 端口 Porta 的 报 文通 过 。 



















































































































































































中 | 





















































































































































源 IP IPa， 源 端口 Porta， 
目的 IP IPb， 目 的 端口 Portb 的 报 文 













3 


内 部 网 络 PC a 






有 


外 部 网 络 PC b 


生成 的 自 反 ACL 规 则 : 允许 源 IP IPb， 源 端口 
Portb， 目 的 IP IPa， 目 的 端口 Porta 的 报 文通 过 








图 9-5 自 反 ACL 工 作 原理 示例 











9.5.2 再 ACL 


下 











中 
示 


王 务 包括 以 下 3 个 方面 。 





自 反 ACL 可 以 很 好 地 保护 企业 内 部 网 络 ， 免 受 外 部 非法 月 


























(1) 配置 需要 用 于 启用 自 反 ACL 功 能 的 高 级 ACL。 














(2) 在 对 应 交换 机 端口 上 局 月 








(3) (可 选 ) 在 交换 书 























有 对 应 高 级 ACL 
几 上 全 局 配置 自 反 ACL 的 老化 时 间 。 


























以 上 3 项 配置 任务 的 具体 配置 步 又 如 表 9-16 所 示 。 




















表 9-16 自 反 ACEL 的 配置 步骤 











配置 高 级 
ACL 























System-view 
例如 : <HUAWEI> 进入 系统 视图 
System-view 
time-range time-name 
{ start-time to end-time 
days | fi timel datel a Df A i 
| | (可 选 ) 创建 一 个 ACL 生效 的 时 间 段 。 命 令 中 的 
” pe 参数 说 明 参 见 节 表 9- 第 2 步 
例如 : [HUAWEJ] 参数 说 明 参见 9.2.1 节 表 9-4 中 的 第 2 步 
ftime-range test 14:00 
to 18:00 off-day 
acl[ number Jacl-mumber 
[ match-order 使 用 编号 创建 一 个 数字 型 的 高 级 
{ auto | config } ] ACL 并 进入 高 级 ACL 视图 。 命 令 中 
例如 : [HUAWEJ] 的 参数 和 选项 说 明 参 见 9.2.2 节 
acl number 3100 
3 acl name acl-name 二 选 一 
{basie achember】 | 他 用 名 称 创建 一 个 命名 型 的 高 级 
Rt edule ACL 并 进入 高 级 ACL 视图 。 命令 中 
; 参数 和 选项 说 明 参 见 9.3.2 节 
例如 ，[HUAWEI acl | 的 参数 和 选项 说 明 参 见 9.32 节 
name testl 3100 
当 参 数 protocol 为 TCP 时 使 用 以 下 命令 创建 高 级 
ACL 规则 : 
role [Per 这 ] {deny | permit } {protocol-number | tep } (三 选 一 ) 配 置 高 级 
[ destination { destination-address destination-wildcard | ACL 规则 , 命令 中 
me } bb { eq port | gt port | lt port | range 的 参数 和 选 项 说 明 
port-start port-end } | { {precedence precedence |tos | s\ 见 922 节 
tos } | dscpdscp } | fragment| logging | source { source- 人 
4 参数 dsepdsxp 和 
address source-wildcard | any } | Source-port { eq port| 
Pprecedence precedence 
gt port | lt port |range port-start port-end} |tcp-flag 不 能 同时 配置 ， 参 
{ack |fin | psh | rst | syn | urg } | time-range time-name | | ,» 加 Re 
sr 数 dscp dscp 和 tos 
ttl-expired ] eX J 
% ， ， | tos 不 能 同时 配置 
例如 : [HUAWEI-acl-adv-3100] rule permit tep destination 
10.1.1.0 0.255.255.255 destination-port eq 80 source 
192.168.1.0 0.0.0.255 source-port eq 8080 time-range test 





有 户 的 攻击 。 在 整个 自 反 ACL 的 配置 中 可 以 配 


的 自 反 ACL 功 能 ， 并 可 选择 配置 该 自 反 ACL 的 老化 时 间 。 


( 续 表 ) 


| 配置 任务 | 步 铝 | 


rl UDP 时 使 用 以 下 命令 创建 高 级 ACL 
则 ; 
rule [rmie-id] 1 deny|permit} {prorocolnumber|udp } 
[ destination { destination-address destination-wildcard | 
any} ldestination-port { eq port | gt port | lt port | range 
port-start port-end } | 1 {precedence precedence |tos 
tos} "|dscpdscp} |fragment |logging |source {source- 
address source-wildcard |any } |source-port { eq port| Ny 
gt port | lt port range port-start port-end } |time-range | (三 选 一 ) 配 置 高 级 
time-name | tti-expired 】 ACL 规则 ， 命 令 中 
例如 : [HUAWEI-acl-adv-3100] rule permit udp destination | 的 参数 和 选项 说 明 
配置 高 级 10.1.1.0 0.255.255.255 destination-port eq 42 souree | 参见 9.2.2 和 、 
ACL 192.168.1.0 0.0.0.255 source-port eq 42 time-range test | 参 数 dscpdscp 和 
precedence precedence 
当 参 数 _ protocol 为 ICMP 时 使 用 以 下 命令 创建 高 级 | 不 能 同时 配置 ; 参 
ACL 规则: 数 dscp dscp 和 tos 
rule [ ue-id] { deny | permit } { protocol-mumber |iemp } | fos 不 能 同时 配置 
[ destination | destination-address destination-wildcard | 
any} | { {precedenceprecedence |tos 10s) | dsep 
dscp} |fragment | logging |icmp-type { icmp-name | 
icmp-type icmp-code } |source { source-address source- 
wildcard | any } | time-range time-name | ttl-expired ]” 
例如 : [HUAWELacl-adv-3100]rule permit iemp destination 
10.1.1.0 0.255.255.255 source 192.168.1.0 0.0.0.255 


time-range test 


quit 
5 例如 ; [HUAWEIl-acl- 
adv-3100] quit 


interface interface-type 
interface-number 
[HUAWEI interface 
gigabitethernet 1/0/0 


退出 高 级 ACL 视图 ， 返 回 系统 视图 


进入 需要 配置 自 反 ACL 功能 的 接口 视图 。 自 反 ACL 
需要 在 接口 上 进行 配置 ， 接 口 对 报 文 进行 过 滤 





使 能 自 反 ACL 功能 和 配置 自 反 ACL 老化 时 间 ， 
命令 中 的 参数 和 选项 说 明 如 下 ， 
(1) inbound: 二 选 一 选项 ， 指 定 该 接口 为 内 网 
接口 。 如 果 只 和 希望 对 外 网 用 户 访问 某 个 内 网 用 户 
的 权限 进行 限制 ， 则 需要 在 连接 该 内 网 用 户 的 接 
口上 配置 自 反 ACL 并 选择 此 选项 
(2) outbound; 二 选 一 选项 , 指定 该 接口 为 外 网 接口 。 


配置 自 反 如 果 一 个 外 网 接口 对 应 多 个 内 网 用 户 ， 希 望 对 外 网 


ACL 功能 


traffic-reflect | inbound 
loutbound }acl { adv-act- 
name | adv-acl-number } 
[ timeout time-value ] 
例如 [HUAWEI- 
GigabitEthernet1/0/0] 
traffic-reflect outbound 
acl 3000 


quit 
例如 ; [HUAWEI- 
GigabitEthermet1/0/0]quit 


用 户 访 问 所 有 内 网 用 户 的 权限 进行 限制 ， 则 需要 在 
该 连接 外 网 的 接口 上 配置 自 反 ACL, 并 选择 此 选项 
(3) adv-acl-name: 二 选 一 人 参数， 指定 一 个 要 启 
用 自 反 ACL 功能 的 高 级 ACL 名 称 。 为 1 一 32 个 
字符 ， 不 支持 空格 ， 区 分 大 小 写 ， 且 要 以 英文 字 
母 a 一 z 或 A 一 Z 开始 ; 可 以 是 英文 字母 、 数 字 和 
“#”"、“%”、“-” 等 字符 的 组 合 

(4) adh-acinumber: 二 选 一 参数 ， 指 定 一 个 要 启 
用 自 反 ACL 功能 的 高 级 ACL 编号 ， 取 值 范围 为 
3 000 一 3 999 

(5) time-walue: 可 选 参数 ， 指 定 自 反 ACL 的 老化 时 
间 ， 取 值 范围 为 (60 一 2 147 483) 整数 秒 ， 使 能 自 反 
ACL 功能 之 后 ， 缺 省 情况 下 ， 接 口 下 的 自 反 ACL 老 
化 周期 是 下 面 可 选 配置 的 全 局 自 反 ACL 老化 周期 
缺 省 情况 下 , 自 反 ACL 功能 未 使 能 , 可 用 undo traffic- 
reflect | inbound | outbound } acl { et- acl-name | 
adv-ack- number } 命 令 去 使 能 自 反 ACL 功能 





退出 接口 视图 ， 返 回 系统 视图 





(可 选 ) 

配置 全 局 
自 反 ACL 
老化 时 间 





traffic-reflect timeout 
time-value 

例如 : [HUAWEI] 
traffic-reflect 
timeout 6000 


配置 全 局 自 反 ACL 老化 周期 ， 取 值 范围 为 
(60 一 2 147 483) 整数 秒 

【说 明 】 如 果 已 经 使 用 traffic-reflect 命令 在 接口 
视图 下 配置 了 自 反 ACL 老化 周期 , 则 以 接口 视图 
下 配置 的 老化 周期 为 准 ; 如 果 在 接口 视图 下 没有 
配置 自 反 ACL 老化 周期 ， 则 以 traffic- reflect 
timeout 命令 在 系统 视图 下 配置 的 老化 周期 为 准 
如 果 在 老化 周期 内 有 符合 自 反 ACL 规则 的 报 文 
通过 接口 ， 该 接口 的 自 反 ACL 规则 被 保留 。 如果 
在 老化 周期 内 没有 符合 自 反 ACL 规则 的 报 文通 
过 接口 ， 该 接口 的 自 反 ACL 规则 被 删除 

当 报 文 流量 较 大 时 ， 可 以 适当 减 小 自 反 ACL 的 老化 
周期 ， 增 大 老化 的 频率 ; 当 报 文 流量 较 小 时 ， 可 以 适 
当 增 大 自 反 ACL 的 老化 周期 ， 减 小 老化 的 频率 

缺 省 情况 下 是 没有 配置 全 局 自 反 ACL 老化 周期 
的 ， 可 用 undo traffic-reflect timeout 命令 取消 原 
来 的 全 局 自 反 ACLf 老化 周期 配置 
































配置 好 后 可 以 使 | 
[acl {adv-acl-name |adv-acl-number } ] 命令 查看 配置 自 反 ACL 的 信息 。 








jdisplay traffic-reflect { inbound loutbound } [ interface interface- type interface-number ] 


2— 




















【示例 1】 在 GE1/0/0 端 口 出 方向 上 配置 自 反 ACL 功 能 ， 对 所 有 TCP 报 文 进 
<HUAWEI>system-view 
[HUAWEI] acl 3000 
[HUAWEI-acl-adv-3000] rule permit tcp 
[HUAWEI-acl-adv-3000] quit 
[HUAWEI] interface gigabitethernet 1/0/0 
[HUAWEI-GigabitEthernet1/0/0] traffic-reflect outbound acl 3000 
【示例 2】 查 看 ACL 3001 在 出 方向 上 的 自 反 ACL 信 息 。 
<HUAWEI>display traffic-reflect outbound acl 3001 
SP DP DIP SIP 


























Proto Count Timeout Interface 


80 1.1.1.1 2.2.2.2 9 


* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff, 
* SP=Source port,DP=Destination port,Count=Packets count(data). 


9.5.3 自 反 ACL 配 置 示例 




















连接 了 内 网 的 | 
反 ACL 功 能 ， 当 内 
全 局 和 GE2/0/1 端 





结构 如 图 9-6 所 示 ， Switch 的 GE1/0/1 
Internet。 在 GE2/0/1 端口 的 出 方向 上 配置 基于 UDP 协议 的 
服务 器 之 后 才 人 允许 Intermet 的 服务 器 访问 内 网 的 主机 。 同 时 ， 
间 ， 对 自 反 ACL 进 行 自动 老化 。 


本 示例 拓扑 端口 ; 
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Server 
IP:10.2.1.10/24 








Switch 


和 GE1/0/1 S 


Client 
IP:10.1.1.10/24 





GE2/0/1 
Internet 





图 9-6 自 反 ACL 配 置 示例 拓扑 结构 
































根据 上 节 介 绍 的 配置 任务 和 配置 步骤 ， 可 很 容易 得 出 本 示例 的 配置 步 又 ， 
(1) 配置 高 级 ACL， 人 允许 UDP 报 文通 过 

<HUAWEI>system-view 

[HUAWEI] acl 3000 

[HUAWEI-acl-adv-3000] rule permit udp 

[HUAWEI-acl-adv-3000] quit 
(2) 在 GE2/0/1 端口 出 方向 上 上 





























| 
a 





反 ACL 功能 和 老化 时 间 (假设 为 600s) 


























户 ， 


反 。 
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GE2/0/1 端口 连接 到 
网 的 主机 先 访 问 Internet 中 的 
口 下 配置 自 反 ACL 的 老化 时 























具体 如 下 。 








Ja 


人 

















， 对 UDP 报 文 进 

















[HUAWEI] interface gigabitethernet 2/0/1 
[HUAWEI-GigabitEthernet2/0/1] traffic-reflect outbound acl 3000 timeout 600 
[HUAWEI-GigabitEthernet2/0/1] quit 

(3) 配置 全 局 自 反 ACL 老 化 时 间 。 但 此 时 在 GE2/0/1 端 口 出 方向 上 的 自 反 ACL 的 老化 时 间 仍 是 在 该 端 
























































口上 配置 的 老化 时 间 一 一 600s。 














[HUAWEI]| traffic-reflect timeout 900 
配置 完成 后 ， 可 以 通过 display traffic-reflect 任 意 视 图 命令 查看 自 反 ACL 信 息 、 验 证 配置 结果 。 具 体 示例 












































如 下 。 从 输出 信息 可 以 看 出 ， 在 GE2/0/1 端 口 下 对 UDP 协议 的 报 文 进行 了 自 反 ， 并 且 对 自 反 后 的 报 文 进行 统 


计 ， 



































反 ACL 的 老化 时 间 为 600s。 
[HUAWEI] display traffic-reflect outbound acl 3000 
Proto SP DP DIP SIP Count Timeout Interface 














UDP 2 80 10.2.1.10 10.1.1.10 9 600(s) GigabitEthernet2/0/1 


* Proto=Protocol,SIP=Source IP,DIP=Destination IP,Timeout=Time to cutoff, 


* SP=Source port,DP=Destination port,Count=Packets count(data). 














第 10 音 “QoS 基础 及 技术 原理 











10.1 QoS 基础 

10.2 QoS 优先 级 映射 

10.3 流量 监管 和 流量 整 玫 

10.4 拥塞 避免 和 拥塞 管理 

10.5 流 策略 

QoS (质量 服务 ) 是 一 项 非常 复杂 的 技术 ， 但 它 的 应 用 又 非常 广泛 。 它 可 实现 的 主要 功能 包括 流量 监管 
(对 进入 接口 的 ， 超 出 限制 速率 的 报 文 进行 丢弃 ) 、 流 量 整 形 (对 接口 发 送 的 ， 超 出 限制 速率 的 报 文 先进 
行 缓存 ， 等 待 流量 不 超出 速率 时 发 送 ) 、 拥 塞 避 免 《 在 出 现 网 络 拥塞 时 对 符合 条 件 的 报 文 进行 丢弃 ) 、 寺 
塞 管理 〈 在 出 现 网 络 拥塞 时 采用 队列 调度 的 方法 对 符合 条 件 的 队列 中 的 报 文 优先 发 送 ) 、 流 策略 〈 可 根据 
不 同 的 流 分 类 实现 诸如 禁止 /允许 通过 ， 重 标记 报 文 优先 级 、 重 标记 报 文 VLAN 标 签 、 重 定向 流量 、 过 滤 报 
文 、 流 量 镜像 、 启 用 流量 统计 功能 等 行为 ) 。 

本 章 将 详细 介绍 以 上 各 种 QoS 基础 知识 和 技术 原理 ， 为 下 一 章 介 绍 的 各 种 QoS 功能 和 QoSs 流 策略 应 用 配 
置 方法 打下 坚实 的 基础 。 
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10.1 QoS 基 丰 


QoS (Quality of Service， 服 务 质量 ) 是 一 种 可 以 为 不 同类 型 业务 流 提 供 差 分 〈 即 “不 同 ”) 服务 等 级 的 
技术 。 通 过 QoS 可 以 给 那些 对 带宽 、 时 延 、 时 延 抖 动 、 丢 包 率 等 敏感 的 业务 流 提 供 更 加 优先 的 服务 等 级 ， 
使 这 些 业 务 能 满足 用 户 正 常 、 高 性 能 使 用 的 需求 。 








10.1.1 QoS 概述 


在 传统 的 卫 网 络 中 ， 所 有 的 报 文 都 被 无 区 别 地 同等 对 待 。 即 每 个 网 络 设备 对 所 有 的 报 文 均 采用 
FIFO (First In First Out， 先 入 先 出 ) 的 策略 进行 处 理 ， 依 照 报 文 到 达 时 间 的 先后 次 序 分 配 所 需要 的 资源 ， 
尽 最 大 的 努力 〈Best-Effort) 将 报 文 送 到 目的 地 。 但 在 这 种 方式 下 ， 对 报 文 传送 的 可 靠 性 、 传 送 延迟 、 丢 包 
率 等 性 能 都 不 提供 任何 保证 ， 所 以 仅 适用 于 对 这 些 服务 性 能 不 敏感 的 普通 业务 ， 如 WWW、FTP 文 件 传输 、 
E-mail 等 业务 。 

随 着 IP 互 联网 上 新 型 应 用 的 不 断 出 现 ， 对 IP 网 络 的 服务 质量 也 提出 了 新 的 要 求 ， 比 如 远程 教学 、 远 程 
疗 、 可 视 电话 、 电 视 会 议 、 视 频 点 播 等 。 在 这 些 对 实时 性 和 连续 性 方面 要 求 更 加 苛刻 的 应 用 中 ， 如 果 报 文 
传送 延 时 太 长 将 是 用 户 无 法 接受 的 ， 因 为 在 这 类 应 用 中 是 不 能 容忍 中 间 停 顿 的 现象 的 。 为 了 文 持 具 有 不 同 
服务 需求 的 话音 、 视 频 以 及 数据 等 业务 ， 要 求 网 络 能 够 区 分 出 不 同 的 业务 类 型 ， 进 而 为 之 提供 相应 等 级 的 
服务 。QoS 正 是 这 样 一 种 可 以 为 不 同业 务 类 型 报 文 提供 差分 服务 的 技术 ， 通 过 对 网 络 流量 进行 调控 ， 可 避免 
并 管理 网 络 拥塞 ， 减 少 报 文 丢 包 率 。 

QoS 服务 等 级 就 是 指 对 业务 流 所 需 的 带宽 、 时 延 、 时 延 抖 动 、 丢 包 率 等 核心 需求 的 评估 。 当 然 ， 不 同类 
型 的 业务 所 需要 评估 的 因素 并 不 一 样 ， 如 普通 数据 流 在 带宽 、 丢 包 率 方面 要 求 更 高 ， 而 像 视频 通信 之 类 的 
业务 流 则 在 时 延 和 时 延 拌 动 方面 要 求 更 高 。 

1. 带宽 


“带宽 ”又 可 称 为 否 吐 量 ， 表 示 在 一 定时 间 内 业务 流 的 平均 速率 ， 单 位 通常 是 kbiys。QoS 可 以 为 不 同业 
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务 流 分 配 不 同 的 端口 带宽 ， 以 实现 高 优先 级 ， 或 者 对 带宽 需求 更 高 的 业务 流 〈 如 视频 流 等 ) 分 配 到 更 大 的 
端口 带宽 ， 实 现 更 加 快速 的 数据 传输 。 

2. 时 延 

“时 延 * 表 示 业 务 流 穿 过 网 络 时 需要 的 平均 时 间 。 对 于 网 络 中 的 一 个 设备 来 说 ， 一 般 将 时 延 的 需求 理解 
为 几 种 等 级 。 通 过 优先 队列 《端口 有 几 个 优先 级 不 同 的 数据 发 送 队列 ) 的 调度 方法 使 得 高 优先 级 的 队列 业 
务 尽 可 能 快 地 获得 传输 服务 ， 而 低 优先 级 的 队列 业务 则 需要 等 待 没有 高 优先 级 业务 时 才能 获得 传输 服务 。 

3. 时 延 拌 动 

“时 延 拌 动 * 表 示 业 务 流 穿 过 网 络 的 时 间 的 变化 。 不 同 的 业务 流 对 时 延 拌 动 的 敏感 度 也 不 一 样 ， 像 话 
音 、 视 频 这 类 实时 要 求 比较 高 的 业务 要 求 时 延 抖动 更 小 ， 否 则 就 可 能 出 现 话音 、 视 频 流 断断续续 ， 不 连续 
或 者 失真 的 现象 。 

4. 丢 包 率 

“ 丢 包 率 ”表示 业务 流 在 传送 过 程 中 的 丢失 比率 。 由 于 现代 的 传输 系统 具有 很 高 的 可 靠 性 ， 信 息 的 丢失 
往往 发 生 在 网 络 出 现 拥塞 时 。 同 样 不 同业 务 流 对 丢 包 率 的 敏感 度 也 不 一 样 ， 此 时 如 话音 、 视 频 流 对 丢 包 率 
就 不 是 很 敏感 了 ， 其 中 丢掉 几 帧 视频 是 看 不 出 太 大 的 变化 的 ， 而 对 于 数据 文件 来 说 就 非常 敏感 了 ， 因 为 这 
样 可 能 导致 数据 最 终 无 法 使 用 。 

说 明 
在 QoS 的 分 类 流程 中 最 关键 的 是 对 各 种 不 同业 务 流 配置 不 同 的 优先 级 ， 对 流入 设 备 的 业务 流 按 其 优先 
级 进行 分 类 ， 然 后 为 不 同类 型 业务 流 定义 一 个 相应 的 流行 为 ， 设 备 就 会 为 对 应 的 业务 流 执行 相应 的 QoS 行 
为 。 













































































































































































不 同 的 报 文 使 用 不 同 的 QoS 优先 级 ， 例 如 二 层 VLAN 报 文 使 用 802.1p 优 先 级 ， 三 层 IP 报 文 使 用 DSCP 优 先 
级 ，MPLS 报 文 使 用 EXP 优 先 级 〈 本 章 不 介绍 此 优先 级 ) 。 下 面 两 小 节 将 分 别 介绍 二 层 的 802.1p 优 先 级 ， 三 
层 的 也 优先 级 和 DSCP 优 先 级 。 









































10.1.2 二 层 VLAN 帧 中 的 优先 级 








二 层 帧 中 的 优先 级 是 专门 针对 VLAN 帧 的 ， 因 为 普通 二 层 帧 中 是 不 携带 优先 级 字段 的 。VLAN 帧 中 的 优 
先 级 那 就 是 我 们 通常 所 说 的 802.1p 优 先 级 〈 由 IEEE 802.1p 协 议定 义 ) ， 位 于 VLAN 帧 中 的 “802.1Q Tag” 字 


段 的 “PRI* 子 字段 中 ， 如 图 10-1 所 示 。 
Length/ 
| Ne | oe | | 











Destination Source 
address address 







TPID VLAN ID 


C—O 
TCI 


图 10-1 VLAN 帧 中 的 802.1p 优 先 级 字段 








IEEE 802.1p 是 IEEE 802.1Q VLAN 标签 技术 ) 标准 的 扩充 协议 ， 它 们 协同 工作 。IEEE 802.1p 的 出 现 ， 
使 得 第 二 层 交 换 机 能 够 提供 流量 优先 级 和 动态 组 播 过 滤 服 务 ， 其 中 流量 优先 级 规范 工作 在 媒体 访问 控制 
(MAC) 层 ， 组 播 流 量 过 滤 功 能 可 确保 该 流量 不 超出 第 二 层 交 换 网 络 范围 。 

IEEE 802.1Q 标 准 定义 了 为 以 太 网 MAC 帧 添加 的 标签 ， 但 并 没有 定义 和 使 用 优先 级 字段 ， 而 使 用 了 FE 


























802.1p 修 改 后 的 以 太 网 MAC 帧 的 以 太 网 协议 头 中 则 定义 了 该 字段 。802.1p 优 先 级 位 于 二 




















AR 


于 不 需要 分 析 三 


导报 文 头 ， 而 需要 
节 的 TPID 〈Tag Protocol Identifier， 标 签 协议 标识 ， 





层 VLAN 帧 头 部 ， 适 








Information， 标 





签 控 于 








| 信息 


\) ， 参 见 图 10-1。 








TCI 部 分 ! 











体 (streaming multimedia) 、 


PRI 子 字段 就 是 802.1p 亿 
示 8 个 优先 级 。 其 中 ， 最 高 优先 级 为 7， 
开放 最 短路 径 优 先 (OSPF) 协议 的 路 由 表 更 新 ;优先 级 6 和 5 主要 用 





先 级 ， 也 称 为 CoS 优 先 级 。 它 由 3 位 组 成 ， 取 值 


在 二 层 环境 下 保证 QoS 的 场合 。4 个 字 节 的 802.1Q 标 签 头 包 含 了 2 个 字 





取 值 为 0x8100) 和 2 个 字 节 的 TCI (Tag Control 
































范围 为 0 一 7， 共 可 表 





























WV 








于 网 络 管理 和 关键 性 








网 络 流量 ， 如 路 由 选择 信息 协议 CRIP) 和 


于 延迟 敏感 〈delay-sensitive ) 应 用 程 



















































































序 ， 分 别 对 应 交互 式 话音 和 视频 ; 优先 级 4 到 1L 主 要 用 于 受 控 负 载 (controlled-load〉 应 用 程序 、 流 式 多 媒 
关键 性 业务 流量 (business-critical traffic) ， 如 SAP 数 据 和 后 台 流 量 。 优 先 级 0 
的 情况 下 自动 启用 。 


是 缺 省 值 ， 








并 在 没有 设置 其 他 优先 级 值 












































10.1.3 三 层 IP 报 文中 的 优先 级 








上 面 介绍 的 




















层 IP 报 文中 ， 优 先 级 的 描述 


法 。 


就 要 复杂 许多 ， 并 且 





1. ToS 字 段 标的 了 优先 级 
中 ，IP 数 据 包 是 依赖 ToS (Type of Service， 服 务 类 型 ) 字段 来 标识 数据 优先 级 值 


























的 。 
值 高 的 数据 包 。 
ToS 字 段 共 一 





在 早期 的 RFC 791 标 准 
ToS 是 IP 数 据 包 中 的 IP 报 头 中 的 一 





个 字 节 (8 位 〉，， 包 括 3 个 部 分 : 0 一 2 共 3 位 月 
ToS 和 最 后 一 个 固定 为 0 的 位 ， 











如 图 10-2 所 示 。 





0 1 2 


IP Precedence 


图 10-2 IP 包头 


(1) IP Precedence 部 分 





IP 优 先 级 部 分 共 3 位 ， 取 值 范围 





routine (普通 ， 值 























为 000) 、 





011) 、 
























































空 带 








优先 级 配置 时 ， 既 可 以 使 用 0 一 7 这 样 的 数值 ， 


(2) ToS 





在 JP 包头 的 ToS 字 有 段 中 














型 (标识 报 文 所 注 








时 ) ，Throughput (吞吐 由 


重 的 特性 要 求 ) 。 








紧 接着 他 优先 级 字段 后 面 的 四 位 是 ToS 部 分 ， 代 表 需 要 为 对 应 报 文 提供 
一 开始 ， 在 RFC 791! 
量 ) ，Reliability 可靠 
可 能 置 1， 此 时 表示 IP 包 在 对 应 方面 有 特别 要 求 〉。 





屋 VLAN 帧 优先 级 比较 简单 ， 就 是 由 PRI 子 字段 的 三 位 来 标识 ， 共 有 8 种 优先 级 ， 但 在 三 












































个 字段 〈 共 1 个 字 节 ) ， 


为 0 一 7《〈 值 武大， 优先 级 越 高 ) 。 
priority《 优 先 ， 值 为 001) 、 
flash-override 〈 和 急速 ， 值 为 100) 、 
为 110) 和 network control〈 网 络 控制 ， 
在 以 上 了 优先 级 值 中 ，6 和 7 一 般 
视频 会 议和 视频 流 使 用 ;3 推荐 给 话音 搁 


critical (关键 ， 
值 为 111) ， 分 别 对 应 于 数字 0 一 7。 
保留 给 网 络 控制 数据 使 用 ， de ; 5 推 
站 数据 使 用 ; oo. 扒 
也 可 以 使 用 


在 不 同时 期 出 现 了 两 种 不 同 的 优先 级 类 型 和 不 同 的 标识 方 





用 来 指定 IP 包 的 优先 级 ， 设 备 会 优先 转发 ToS 

















来 定义 数据 包 的 JP 优先 级 (IP Precedence) 、 


3 4 5 6 7 

















的 ToS 字 段 结构 
































分 别 为 
flash( 闪 速 ， 值 为 
intemetwork control (网 间 控 制 ， 值 


用 名 称 表 示 时 ， 这 8 个 取 值 
immediate (快速 ， 值 为 010)、 
值 为 101) 、 





















































荐 给 话音 数据 使 用 ，4 推 荐 
给 数据 业务 使 用 ;0 为 缺 省 标记 值 。 在 IP 
td 



















































































的 服务 类 
4 用 到 了 第 3 一 5 位 ， 分 别 代表 IP 包 在 Delay 〈 延 









































面 的 特性 要 求 (每 个 报 文 在 这 三 位 中 只 有 一 位 
后 来 在 RFC1349 标 准 中 又 扩展 到 第 6 位 ， 表 示 IP 包 在 路 径 


天 性 ) 这 三 方 男 














开销 (cost) 方面 的 特性 要 求 。 

要 注意 的 是 ， 昌 然 ToS 部 分 共有 4 位 ， 但 每 个 IP 包 中 这 4 位 中 只 能 有 一 位 为 1， 所 以 实际 只 有 5 个 取 值 ( 包 
括 全 为 0 的 值 )。 这 5 个 值 所 对 应 的 名 称 和 数值 分 别 为 normal (一 般 服 务 ， 取 值 为 0000) 、min-monetary- 
cost〈 最 小 开销 ， 取 值 为 0001， 确 保 路 径 开销 最 小 ) 、max-reliability (最 高 可 靠 性 ，0010， 确 保 可 靠 性 最 
高 ) 、max-throughput 〈 最 大 吞吐 量 ， 取 值 为 0100， 确 保 传输 速率 最 高 ) 、min-delay〔〈 最 小 时 延 ， 取 值 为 
1000， 确 保 传输 时 延 最 小 ) 。 

2. DS 字段 的 DSCP 优 先 级 和 PHB 
在 后 来 新 的 RFC 2474 标 准 中 ， 重 新 定义 了 原来 IP 包头 部 的 ToS 字 段 ， 并 改称 为 DS (Differentiated 
Services， 差 分 服务 ) 字段 ， 也 是 共 一 个 字 节 〈8 位 ) 。 总 的 来 说 ， 第 0 一 5 位 ( 共 6 位 ) 用 来 表示 
DSCP (Differentiated Services Code Point， 差 分 服务 代码 点 ) 优先 级 ， 取 值 范围 为 0 一 63， 共 能 标识 出 64 个 
优先 级 值 〈 值 越 大 ， 优 先 级 越 高 )》 ， 最 后 两 位 保留 ， 用 于 显示 拥塞 通知 (Explicit Congestion Notification， 
ECN) ， 如 图 10-3 所 示 。 





















































































































































































































































DSCP 


PHB Classs PHB Class Selector 
PHB 





图 10-3 IP 包 头 中 的 DS 字 段 结构 
































后 来 在 IETF RFC 2597 标 准 中 定义 了 PHB&nbsp; (Per-Hop Behavior， 逐 跳 行 为 ) ， 通 过 PHB 值 可 以 确 
定 在 网 关 处 对 卫 包 的 转发 行为 。 这 个 PHB 值 是 通过 前 面 介绍 DSCP 优 先 级 部 分 的 第 0 一 4 位 来 标识 的 ， 其 中 第 
0 一 2 位 用 来 标识 PHB 类 别 (PHB Class) 值 ， 共 8 个 值 ， 对 应 表示 为 CS0~CS7， 对 应 在 RFC 791 定 义 的 8 个 
JP 优先 级 值 ， 而 第 3 一 4 位 用 来 标识 PHB 类 别 选 择 (PHB Class Selector) 值 ， 参 见 图 10-3。PHB 类 别 值 和 PHB 
类 别 选 择 值 共同 组 成 PHB 值 。DSCP 值 是 由 PHB 的 5 位 再 加 上 第 5 位 《固定 为 0) ， 但 在 PHB 类 别 中 的 3 位 不 能 
全 为 0 。 
在 RFC 2597 中 定义 了 4 种 确保 转发 (Assured Forwarding，AF) PHB 组 〈 称 为 AF PHB) 。 它 使 用 了 DS 字 
段 中 的 第 0 一 2 位 定义 PHB 类 别 ， 而 使 用 DS 字 段 中 的 第 3 和 4 位 代表 报 文 的 “丢弃 优先 级 "， 用 AF (x，y) 表 
示 ， 其 中 x 表示 流 分 类 ，y 表 示 对 应 的 丢弃 优先 级 。 
说 明 
所 谓 “ 确 保 转 发 "就 是 允许 管理 员 在 没有 超过 线路 允许 速率 的 情况 下 提供 尽 可 能 的 传输 质量 
果 超 出 用 户 线路 速率 则 可 能 在 出 现 拥塞 时 丢弃 数据 包 。 
在 确保 转发 PHB 中 ， 定 义 了 4 种 PHB 类 别 〈 也 即 “ 流 分 类 ”) ， 它 们 的 值 分 别 为 001、010、011 和 100 (对 
应 CS1~CS4) ， 它 们 本 身 代 表 了 流 的 不 同 优先 级 〈 值 越 大 转发 优先 级 越 高 ) ， 然 后 通过 第 3 和 4 位 的 丢弃 
优先 级 值 〈 取 非 0 的 3 个 值 ， 分 别 为 01、10 和 11， 值 越 大 丢弃 优先 级 越 高 ) 进一步 区 分 同一 类 流 不 同 卫 包 的 
丢弃 优先 级 。 它 们 共同 针对 4 种 PHB 分 类 组 成 了 4 组 AF 等 级 ， 它 们 所 对 应 的 AF 值 和 对 应 的 DSCP 值 如 表 10-1 
所 示 〔 此 时 第 5 位 的 值 固定 为 0)。 
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证 ， 但 如 





































































































































































































表 10-1 4 组 AF PHB 等 级 











再 后 来 在 


























丢弃 优先 级 Class 1 Class 2 Class 3 Class 4 
低 丢 弃 优 先 级 A 10): ne 18): AF31 AF41 Po 
中 丢弃 优先 级 A 12): ee AF32 i AF42 i 
高 丢弃 优先 级 人 14): i 22): AF33 i 30): AF43 Me 




















RFC 3246 标 准 中 ， 又 定义 一 个 加 速 转发 (Expedited Forwarding，EF) PHB， 对 应 CS5， 即 在 




















DS 字 段 中 的 第 0 一 2 位 取 值 为 101， 第 3 一 4 位 取 值 固定 为 11， 第 5 位 固定 为 0， 这 样 一 来 对 应 的 DSCP 值 就 为 


46 (101110) 

比 其 他 通信 类 
除了 前 面 

000000， 即 十 






























































。EF PHB 具 有 低 延 时 、 低 开销 和 低 拌 动 特性 ， 适 用 于 话音 、 视 频 和 其 他 实时 服务 ， 一 般 具 有 
型 更 加 优先 的 队列 。 

介绍 的 AF 和 EF 外 ， 还 有 一 个 缺 省 的 PHB， 那 就 是 尽力 服务 类 型 ， 它 所 对 应 的 DSCP 值 为 

进 制 的 0。 另 外 还 定义 了 CS6 和 CS7，CS6 用 于 网 间 控 制 ， 对 应 的 DSCP 为 110000， 即 十 进 制 的 
























































48; CS7 用 于 网 内 控制 ， 对 应 的 DSCP 值 为 111000， 即 十 进 制 的 56。 











个 包含 了 一 组 





在 配置 DSCP 优 先 级 时 ， 既 可 以 使 用 对 应 的 DSCP 名 称 ， 如 CS6、CS7、AF11、AF12 (在 CS1~CS4 中 每 





DSCP 值 ， 所 以 要 指定 具体 的 DSCP 名 称 ) ， 又 可 使 用 对 应 的 DSCP 十 进 制 值 ， 如 48、56 等 。 





3. IP 优 先 级 与 DSCP 优 先 级 的 对 应 关系 


DSCP 优 4 
情况 下 它们 之 
况 下 是 不 能 识 
射 关系 。 这 方 


10.1.4 三 种 Qo 








c 级 是 向 后 兼容 IP 优 先 级 的 ， 当 支持 DSCP 的 设备 收 到 仅 支持 Tos 中 的 人 p 优 先 级 的 报 文 时 ， 缺 省 
辣 是 有 一 种 喘 射 关系 的 ， 具 体 如 表 10-2 所 示 。 当 然 ， 如 果 设 备 仅 支持 Tos 的 人 Pp 优先 级 ， 缺 省 情 
别 报 文中 的 DSCP 优 先 级 值 的 ， 这 时 需要 事先 在 接收 设备 配置 好 DSCP 优 先 级 与 lp 优先 级 的 映 
条 具体 在 本 章 后 面 介绍 。 










































































表 10-2 IP 优 先 级 与 DSCP 优 先 级 值 的 对 应 关系 
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1. Best Effort 模 型 


Best Effort 模型 
灸 用 程 请 


型 











型 ?就 是 设备 为 不 同业 务 流 提 供 
民 务 模型 。 


是 一 利 














服务 的 一 种 模式 。 总 体 来 说 ， 包 括 Best Effort、IntServ 和 


i 分 别 予 以 简单 介绍 








日 .时 全 


h 为 所 有 业务 流 提供 相同 服务 等 级 的 服务 模型 ， 也 是 最 简单 和 

















服务 模 





型 。 在 Best Effort 模 型 中 ， 




















需要 通知 网 络 ， 

Best Effort 模 型 是 
周 度 方 式 来 实现 。 
2. IntServ 模 型 
IntServ (Integrated Service, 


出 (FIFO) 
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过 RSVP 信 











网 络 尽 最 的 
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可 能 性 


的 缺 省 服务 模型 ， 
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令 来 完成 的 ， 如 RSVP (Resource Reservation Protocol， 资 源 预 
令 通 知 网络 它 的 QoS 需求 〈 如 时 延 、 
上 的 网 络 节点 实施 许可 控 


制 (Admission control) ， 验 证 


可 以 在 但 


























F 何 时 候 发 出 任意 数量 的 报 文 ， 而 且 不 需要 事先 获得 批 ; 
每 一 个 数据 报 文 ， 但 对 时 延 、 可 靠 性 等 性 能 不 提供 任何 保 记 
旬 于 绝 大 多 数 网 络 ， 如 FTP、E-mail 等 ， 它 
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它 适 用 











服务 ) 模型 的 主要 特点 是 在 发 送 报 文 前 要 先 向 网 络 提出 申请 。 这 个 请 
留 协议 ) 。 应 用 程序 首先 通 
带宽 、 丢 包 率 等 指标 ) ， 在 收 到 资源 预 留 请 求 后 ， 传 送 路 径 
人 性 ， 决 定 是 否 为 应 
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IntServ 模 型 常 

点 播 等 。 当 前 ， 采 用 RSVP 协 议 的 IntServ 模型 
(1) 保证 型 服务 (Guaranteed Service) : 

VoIP 《Voice over IP，IP 话 音 


(2) 负载 控 仙 


每 个 资源 预 包 


源 请 求 和 路 


留 资源 。 
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| 型 
对 报 文 提供 类 似 Best Effort 模 型 
IntServ 模 型 的 最 大 优点 是 可 以 提供 
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3. DiffServ 模型 
为 了 在 Internet 上 针对 不 同 的 
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时 | 





经 的 网 络 设备 为 其 预 留 资源 ， 网 络 不 需要 为 每 个 流 维护 状态 ， 仪 根 
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模型 。 


报 文 育 











为 对 应 流 提 供 
DlleSprete 来 为 一 些 重要 的 应 用 所 
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的 服务 等 





DiffServ 模 型 是 一 种 多 服务 模型 





为 应 上 
让 点 将 承诺 满足 应 | 
、 低 延迟 的 排 
与 组 


程序 的 报 文 分 配 了 资 


























有 ， 则 只 要 应 用 程序 的 报 文 控 制 在 流量 参数 
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程序 的 QoS 需求 。 传输 路 径 上 的 网 络 节点 可 以 通过 执行 报 文 的 分 > 
队 调度 等 行为 ， 来 满足 对 应 用 程序 的 承诺 。 
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口 口 ， 


月 可 以 预 留 10MB 带 
I 服务 (Controlled-Load Service ) : 
J 在 未 过 载 时 的 服务 质量 ， 保 证 某 些 


些 必要 的 软 状态 (Soft State) 信息 
径 刷 新 信息 ， 以 支持 组 操 
上 内 存 资源 。 在 网 络 规模 扩大 时 ， 











竺 成 员 的 动态 加 入 和 退出 。 
组 








护 的 开销 会 大 














适用 于 需 





要 保证 带宽 、 低 延迟 的 实时 多 媒体 应 用 ， 如 电视 会 议 、 视 频 
定义 了 两 种 业务 类 型 。 
提供 保证 的 带宽 和 时 延 限 第 


Tr 














1 来 满足 应 用 程序 的 要 求 。 如 
宽 和 要 求 不 超过 1s 的 时 延 。 
保证 即使 在 网 络 过 载 (overload) 的 情 

















况 下 ， 仍 能 
应 用 程序 报 文 的 低 时 延 和 低 丢 包 率 需求 。 
最 大 缺点 是 可 扩展 性 不 好 : 网 络 节点 需要 为 
; 在 与 组 播 应 用 相 结合 时 ， 还 要 定期 地 向 网 络 发 资 
而 这 些 操作 要 耗费 网 络 节 点 较 多 的 处 理 时 间 
画 度 增加 ， 对 网 络 节 点 特别 是 核心 节点 线 速 处 理 报 文 的 
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沉 到 端的 QoS 传输 服务 ， 






















































































此 ，IntServ 模 型 不 适宜 于 在 








前 通过 设置 报 文 头 部 的 从 9 


务 提供 有 差别 的 月 














[ 集 的 骨干 网 上 大 量 应 用 。 
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民 务 ， IETE 定义 了 DiffServ (Differentiated Service， 




















， 可 以 满足 不 同 用 户 】 


级 字段 ， 向 网 





此 务 流 的 QoS 需 求 。 它 与 IntServ 模 型 
络 中 各 设备 通告 E 








不同 的 是 应 用 
己 的 QoS 需求 ， 而 不 需要 通知 途 
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在 DiffServ 模 型 中 ， 流 分 
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服务 的 基 

















)， 巴 们 了 


要 完成 如 下 








功能 。 


通常 在 配置 DiffServ 模 型 后 ， 边 界 设备 通过 报 文 的 源 地 址 和 


同 的 报 文 设置 不 同 的 优先 级 ， 并 标记 在 报 文 头 部 ， 











据 每 个 报 文 携带 的 优先 级 就 可 确定 所 需 
































提供 





端 到 端的 QoS， 这 也 是 本 章 介 绍 的 QoS 技术 中 所 使 用 的 服 
的 地 址 等 信息 对 报 文 进 行 分 类 


刀 关 ， 对 不 
也 设备 只 需要 根据 设置 的 优先 级 来 进行 报 文 的 1 
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型 报 文 提供 有 














(1) 流 分 类 : 依据 一 定 的 匹配 规则 识别 出 不 同类 型 的 报 文 ， 是 有 区 别 地 实施 服务 的 前 提 。 

(2) 流量 监管 : 对 进入 交换 机 的 特定 流量 的 规格 进行 监管 。 当 流量 超出 规格 时 ， 可 以 采取 限制 或 惩罚 
措施 ， 以 保护 运营 商 的 商业 利益 和 网 络 资源 不 受 损害 。 

(3) 流量 整形 : 一 种 主动 调整 流 的 输出 速率 的 措施 ， 使 流量 适 配 下 游 交 换 机 可 供给 的 网 络 资源 ， 避 人 免 
不 必要 的 报 文 丢 弃 和 拥塞 。 

(4) 拥塞 管理 : 在 发 生 网 络 拥塞 时 必须 采取 解决 资源 竞争 的 措施 。 通 常 是 将 报 文 放 入 队列 中 缓存 ， 并 
采取 某 种 调度 算法 安排 报 文 的 转发 次 序 。 

(5) 拥塞 避免 : 过 度 的 拥塞 会 对 网 络 资源 造成 损害 。 拥 塞 避免 功能 可 以 监督 网 络 资源 的 使 用 情况 ， 在 
发 现 拥 塞 有 加 剧 的 趋势 时 采取 主动 丢弃 报 文 的 策略 ， 通 过 调整 流量 措施 来 解除 网 络 的 过 载 。 
在 这 些 功 能 组 件 中 : 流 分 类 是 基础 ， 它 依据 一 定 的 匹配 规则 识别 出 报 文 ， 是 有 区 别 地 实施 服务 的 前 
提 ; 流量 监管 、 流 量 整形 、 拥 塞 管理 和 拥塞 避免 从 不 同方 面 对 网 络 流量 及 其 分 配 的 资源 实施 控制 ， 是 有 区 
别 地 提供 服务 具体 体现 。 






























































































































































































































































10.1.5 Diffserv 模 型 体系 结构 





DiffServ 体 系 结构 定义 了 实现 差分 服务 的 系统 模型 和 基本 功能 组 件 ， 如 图 10-4 所 示 。 在 一 个 网 络 节点 
上 ， 实 现 差分 服务 的 基本 功能 组 件 包 括 * 逐 跳 行 为 ”(PHB ) 、 业 务 流 分 类 和 流量 调整 (包括 流量 监管 与 流 
量 整形 、 拥 塞 避 免 与 拥塞 管理 ) 等 功能 。 差 分 服务 建立 在 DS 差分 服务 ) 域 模型 之 上 ， 并 规定 了 一 个 DS 域 
的 边界 节点 和 内 部 节点 。 在 DS 域 边界 节点 上 ， 对 进入 网 络 的 业务 流 进 行 分 类 、 流 量 调整 和 优先 级 标记 ， 并 
按照 DS 域 所 支持 的 PHB 组 中 的 一 个 PHB 进 行 转发 。 在 内 部 节点 上 ， 将 根据 边界 节点 标记 的 DSCP 或 802.1p 
优先 级 所 定义 的 PHB 来 选择 该 业务 流 的 转发 行为 ， 为 业务 流 分 配 带宽 资源 。 
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图 10-4 DiffServ 模 型 体系 结构 


1. DS 域 

Diffserv 模 型 的 实现 基于 DS 域 ，DS 域 由 一 组 采用 相同 的 服务 提供 策略 和 实现 了 相同 PHB 组 集合 的 相连 
DS 节点 组 成 。 一 个 DS 域 由 DS 边界 节点 和 DS 内 部 节点 组 成 ， 边 界 节 点 构成 了 DS 域 的 边界 ， 内 部 节点 构成 了 
DS 域 的 核心 。 























2. DS 节点 

DS 节点 指 实现 DiffServ 功 能 的 网 络 节 点 。DS 节 点 可 分 为 DS 边界 节点 和 DS 内 部 节点 。 

(1) DS 边界 节点 

DS 边界 节点 负责 连接 男 一 个 DS 域 或 者 连接 一 个 没有 DS 功能 的 域 的 节点 。DS 边 界 节点 负责 将 进入 此 DS 
域 的 业务 流 进行 分 类 和 可 能 的 流量 调整 ， 以 保证 穿 过 此 DS 域 的 业务 流 被 适当 标记 ， 并 按照 DS 域 所 支持 的 
PHB 组 中 的 一 个 PHB 进 行 转发 。 

对 于 不 同方 向 的 业务 流 ，DS 边 界 节点 既 可 以 是 DS 域 的 输入 〈Ingress) 节点 ， 又 可 以 是 DS 域 的 输出 
(Egress) 节点 。 业 务 流 在 mgress 节 点 处 进入 DS 域 ， 在 Egress 节 点 处 离开 DS 域 。Ingress 节 点 负责 保证 进入 
DS 域 的 业务 流 符合 本 域 和 此 节点 直 连 的 另 一 个 域 之 间 的 SLA (Service Level Agreements， 服 务 等 级 协定 ) 或 
TCA (Traffic Conditioning Agreement， 流 量 控制 协定 ) 。Egress 节 点 依据 两 个 域 之 间 的 TCA 细 节 ， 对 转发 到 
其 直 连 的 对 等 域 的 业务 流 执 行 流量 调整 功能 。 

(2) DS 内 部 节点 

DS 内 部 节点 负责 连接 同一 DS 域 中 的 其 他 DS 内 部 节点 或 DS 边界 节点 。DS 内 部 节点 负责 根据 IP 报 头 中 的 
DS 字段 或 VLAN 报 文 的 802.1p 字 段 所 定义 的 PHB 来 为 该 业务 流 选 择 转发 行为 。 无 论 是 DS 边界 节点 还 是 DS 内 
部 节点 都 必须 根据 业务 流 的 DSCP 或 者 802.1p 选 择 相应 的 PHB 进 行 转发 操作 。 

3. SLA 

SLA【〔 服 务 等 级 协定 ) 指 用 户 个人、 企业 、 有 业务 往来 的 相 邻 ISP 等 ) 和 服务 提供 商 签署 的 关于 业务 
流 在 网 络 中 传递 时 所 应 当 获 得 的 待遇 。SLA 包括 很 多 方面 ， 例 如 付费 协议 ， 其 中 的 技术 说 明 部 分 称 为 
SLS (Service Level Specification， 服 务 等 级 规范 ) 。 

4. TCA 

TCA【〔 流 量 控 制 协定 〉 指 用 户 与 服务 提供 商 签署 的 关于 业务 分 类 准则 、 业 务 模型 及 相应 处 理 的 协定 。 
去 掉 了 商业 条 款 的 TCA 称 为 TCS (Traffic Conditioning Specification， 流 量 控制 规范 ) ， 一 个 SLA 中 可 以 包含 
TCA。 对 于 业务 的 处 理 而 言 ，SLA 或 SLS 指 明 的 是 比较 一 般 的 内 容 ， 例 如 采用 什么 样 的 机 制 ， 而 TCA 或 TCS 
则 比较 具体 ， 例 如 县 体 的 带宽 要 求 。 

5. DS 区 

一 个 或 多 个 邻接 的 DS 域 统称 为 DS 区 。DS 区 可 以 支持 贯穿 区 内 多 个 DS 域 的 分 类 业务 。DS 区 中 的 DS 域 可 
能 文 持 不 同 的 PHB 组 ， 和 QoS 优先 级 到 PHB 的 映射 规则 。 不 同 DS 域 可 有 不 同 的 PHB， 以 实现 不 同 的 服务 提 
供 策略 。 它 们 之 间 通 过 SLA 和 TCA 协 调 提 供 跨 区 域 服务 。SLA/TCA 指 明了 如 何在 DS 域 边界 节点 调整 从 一 个 
DS 域 传 向 另 一 个 DS 域 的 业务 流 。 


































































































































































































































































































10.2 QoS 优先 级 映射 











优先 级 映射 用 来 实现 报 文 携带 的 QoS 优先 级 与 设备 内 部 优先 级 (又 称 为 本 地 优先 级 ， 是 设备 为 报 文 分 
的 具有 本 地 意义 的 优先 级 ) 之 间 的 转换 ， 从 而 使 设备 根据 内 部 优先 级 为 不 同 报 文 提供 有 差别 的 QoS 服务 质 
。 不 同 $ 系 列 交换 机 所 支持 的 优先 级 信任 模式 和 优先 级 映射 模式 都 有 所 不 同 ， 下 面 将 具体 介绍 。 
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10.2.1 优先 级 








不 同 网 络 中 的 报 文 使 用 不 同类 型 的 QoS 优先 级 字段 ， 例 如 VLAN 网 络 中 的 报 文 使 用 802.1p 优 先 级 ，IP 
网 络 中 的 报 文 使 用 人 ?优先 级 或 DSCP 优 先 级 。 当 报 文 经 过 不 同 网 络 时 ， 为 了 保持 报 文 的 优先 级 ， 需 要 在 连接 
不 同 网 络 的 设备 上 配置 这 些 优先 级 字段 的 映射 关系 。 当 设备 连接 不 同 网 络 时 ， 所 有 进入 设备 的 报 文 优先 级 


























(包括 802.1p 和 DSCP， 统 称 为 “外 前 
优先 级 ; 当 设 备 发 出 报 文 时 ， 又 需要 根 扩 





优先 级 。 

















从 以 上 分 析 可 以 看 出 ， 这 里 涉及 到 设备 信任 报 文 的 哪 种 优先 级 ， 也 就 是 下 面 














式 ， 以 及 对 应 的 内 、 外 部 优先 级 映射 模式 。 


1， 优先 级 信任 模式 








配置 
定 以 哪 种 身份 来 衡量 你 的 地 位 。 
(1) 三 种 优先 级 信任 模式 






































王 报 文 的 802.1p 优 先 级 。 





© 











DSCP 优 先 级 的 IP 报 文才 可 映射 
G@) 


应 的 卫 优 














(2) 华为 5 系列 交换 机 对 优 
在 不 同 的 华为 $ 系 列 交 换 机 中 ， 所 支持 的 优先 级 信任 模式 不 完全 一 样 ， 





优先 级 信任 模式 可 以 确定 设备 根 和 


在 华为 系列 交换 机 中 ， 有 以 下 三 利 











优先 级 ") 字段 根据 所 配置 优先 级 映射 表 都 被 转换 为 交换 机 端 
时 优先 级 映射 表 将 报 文中 携带 的 内 部 优先 级 恢复 为 原来 的 对 应 外 部 























四 哪 种 优先 级 进行 映射 。 相 当 于 你 说 你 有 多 种 身份 ， 但 











FP 优 9 


























言 任 报 文 的 DSCP 优 先 级 : 配置 信任 
并 进行 后 续 的 优先 级 映射 ， 得 到 报 文 映射 后 的 802.1p 优 先 级 ， 或 DSCP 优 先 级 ， 
丢弃 优先 级 ， 因 为 只 有 这 类 报 文才 有 这 样 的 数据 
和 贸 按 照 报 文 ! 








先 级 


QD 信任 报 文 的 802.1p 优 先 级 : 配置 信任 802.1p 优 先 级 时 ， 设 备 根 和 


并 进行 后 续 的 优先 级 映射 ， 得 到 报 文 映射 后 的 802.1p 优 4 








齐 任 报 文 的 也 优先 级 ;配置 交换 机 站 
先 级 映射 表 ， 得 到 报 文 映射 后 的 802.1p 优 先 级 或 fp 优 先 级 。 
半 任 模式 


级 信任 模式 。 











居 报 文 的 802.1p 优 先 级 对 和 
级 ， 了 JP 优 先 级 ， 或 DSCP 优 先 级 。 缺 省 4 





口 的 内 部 





即将 介绍 的 优先 级 信任 模 

































































DSCP 优 先 级 时 ， 设 备 根据 报 文 的 DSCP 优 先 级 对 报 文 进行 分 类 












































或 丢弃 优先 级 (只 有 文 持 


立 ， 参 见 10.1.3 节 介绍 〉。 








信任 他 优 先 级 ， 此 时 ; 











的 支持 





所 携带 的 IP 优 先 级 查找 对 



































L 体 表现 如 下 。 


(DS2700SI1/S2700EI/S2710SI 系 列 交 换 机 仅 支 持 “ 信 任 报 文 的 802.1p 优 先 级 ”模式 。 


@@ S5700HI/5710E1/6700/7700/9300/9700 系 列 交 换 机 仅 支 持 “ 信 人 


DSCP 优 先 级 ”这 两 种 模式 。 





@) S2700-52P-EI2700-52P-PWR-EI/3700SI/3700EIS5700SI5700EI5700LI5700S-LI 系 列 交换 机 全 面 








持 以 上 3 种 优先 级 信任 模式 。 
说 明 


























在 报 文 进入 设备 端口 之 后 ， 
携带 VLAN 标 签 ， 则 报 文 会 根 和 














站 


队列 号 。 在 三 层 转 发 时 ， 可 以 选择 





2. 优先 级 
为 了 保证 
内 部 优先 级 ， 并 根 志 


映射 模式 








万 池 


不 同 报 文 的 服务 质量 ， 
内 部 优先 级 与 队列 之 间 的 映射 关系 确定 报 文 进入 的 队列 ， 








:而 




















[0 果 报 文 携带 了 VLAN 标 签 ， 
口 缺 省 的 802.1p 优 先 级 进行 转发 ， 该 端 
言 任 DSCP 优 先 级 。 





























形 、 拥 塞 避 免 、 
的 优先 级 ， 以 便 其 人 
与 内 部 优先 级 和 

(1) 优先 级 映射 模式 


























也 设备 根据 和 














总 体 来 说 ， 华 为 系列 交换 机 所 支持 的 所 有 优 多 


优先 级 ) 。 


队列 调度 等 处 理 
及 文 的 优先 级 提供 相应 

















的 映射 关系 ， 以 便 设 备 在 后 续 转 发 中 相 











Q@ 内 部 优先 级 和 队列 之 间 的 映射 
@ DSCP 优 先 级 到 802.1p、 新 的 DSCP 优 先 级 、 丢 弃 优先 级 的 映射 。 

















E 报 文 的 802.1p 优 先 级 "和 “信任 报 文 


则 可 以 选择 信任 802.1p 优 先 级 ， 如 果 报 文 没有 
口 优先 级 即 报 文 转发 时 进 











过 









































入 的 站 

















对 于 进入 设备 的 报 文 ， 设 备 可 以 根据 配置 将 报 文 携 


带 的 优先 级 映射 为 














从 而 针对 队列 进行 流量 整 





























; 报 文 从 设备 发 送出 去 时 ， 设 备 可 以 根据 配置 修改 报 文 发 送出 去 时 所 携带 












































民 和 

















QoS 服务。 配置 优先 级 映射 模式 可 以 确定 报 文 优先 级 
时 内 部 优先 级 提供 有 差别 的 QoS 服务 。 








E 级 映射 模式 包括 以 下 几 种 〈 不 考虑 MPLS 报 文中 的 EXP 





@@ 卫 优 先 级 到 802.1p、 新 的 卫 优 先 级 的 映射 。 
@ 802.1p 优 先 级 到 PHB 行 为 /颜色 的 映射 。 
@@ PHB 行 为 /颜色 到 802.1p 优 先 级 的 映射 。 
@ DSCP 优 先 级 到 PHB 行 为 /颜色 的 映射 。 
@O PHB 行 为 /颜色 到 DSCP 优 先 级 的 映射 。 

(2) 华为 $ 系 列 交换 机 对 优先 级 信任 模式 的 支持 
同样 ， 不 同 的 华为 $ 系 列 交换 机 所 支持 的 优先 级 映射 模式 也 不 完全 相同 。 
Q 在 S2700SI2700EI2710SI 系 列 交换 机 中 仅 文 持 “ 内 部 优先 级 和 队列 之 间 的 映 司 





























入 模式 。 


@) 在 $S2700-52P-EI/2700-52P-PWR-EIS3700SI3700EI5700SI5700EI5700LI5700S-LI 系 列 交换 机 中 支持 


以 下 3 种 优先 级 映射 模式 。 
e 内 部 优先 级 和 队列 之 间 的 映射 。 
e DSCP 优 先 级 到 802.1p、 新 的 DSCP 优 先 级 、 丢 弃 优 先 级 的 映射 。 
e IP 优 先 级 到 802.1p、 新 的 他 优先 级 的 映射 。 
图 在 S5700H15710E1/6700/7700/9300/9300E/9700 系 列 交换 机 中 ， 支 持 以 下 几 利 
e 在 接口 入 方向 ， 将 802.1p 优 先 级 映射 为 PHB 行 为 /颜色 。 
e 在 接口 出 方向 ， 将 PHB 行 为 /颜色 映射 为 802.1p 优 先 级 。 
e 在 接口 入 方向 ， 将 DSCP 优 先 级 映射 为 PHB 行 为 /颜色 。 
e 在 接口 出 方向 ， 将 PHB 行 为 /颜色 映射 为 DSCP 优 先 级 。 
说 明 
在 S5700HI5710EI6700/7700/9300/9300E/W9700 系 列 交换 机 中 支持 RFC 2597 和 




































































优先 级 映射 模式 。 


RFC 3246 标 准 中 的 


PHB (参见 本 章 10.1.3 节 ) ， 用 户 可 以 根据 DiffServ 域 中 定义 的 报 文 优先 级 与 PHB 行为 /颜色 之 间 的 映射 关 


系 对 报 文 进行 分 类 。 对 于 来 自 上 游 设 备 的 报 文 ， 在 设备 的 入 接口 上 绑 定 DiffServ 域 ， 















































在 DiffServ 域 中 将 报 文 





携带 的 优先 级 信息 映射 到 相应 的 PHB 行 为 /颜色 ， 然 后 根据 内 部 优先 级 与 队列 之 间 的 映射 关系 确定 报 文 进入 

















的 队列 ， 在 设备 的 出 接口 上 ， 根 据 报 文 的 PHB 行 为 进行 拥塞 管理 ， 根 据 报 文 的 颜色 进行 拥塞 避免 ， 然 后 对 














于 流向 下 游 设 备 的 报 文 ， 在 设备 的 出 接口 上 绑 定 DiffServ 域 ， 在 DiffServ 域 中 将 报 文 
相应 的 优先 级 ， 下 游 设备 根据 报 文 的 优先 级 提供 相应 的 QoS 服务 。 























10.2.2 内 部 优先 级 与 802.1p 和 入 队列 索引 的 映射 关系 


























的 PHB 行 为 /颜色 映射 为 


“内 部 优先 级 ”是 指 设备 对 报 文 进行 处 理 的 优先 级 ， 报 文中 携带 的 优先 级 只 有 在 与 内 部 优先 级 进行 了 映 
































射 后 ， 才 能 体现 报 文 在 对 应 设备 的 最 终 优先 级 ， 设 备 对 报 文 的 处 理 优先 级 不 是 直接 











按照 报 文中 所 携带 的 各 























种 优先 级 进行 的 ， 而 是 按照 设备 中 配置 的 内 部 优先 级 进行 的 。 根 据 10.1.3 节 介绍 的 不 同 PHB 行 为 定义 了 8 
种 “内 部 优先 级 ”， 从 低 到 高 的 顺序 依次 是 : BE、AF1、AF2、AF3、AF4、EF、CS6 和 CS7 (不 区 分 大 小 
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写 ) 。 
1. 802.1p 优 先 级 与 内 部 优先 级 的 映射 关系 









































缺 省 情况 下 ， 所 有 华为 系列 交换 机 的 802.1p 优 先 级 与 内 部 优先 级 的 映射 关系 是 一 样 的 ， 如 表 10-3 所 





示 。 从 中 可 以 看 出 ， 这 些 交换 机 中 802.1p 优先 级 与 内 部 优先 级 的 缺 省 映射 关系 是 按 等 级 一 一 对 应 的 ， 即 最 























低 的 802.1p 优 先 级 0 对 应 最 低 的 内 部 优先 级 BE， 最 高 的 802.1p 优 先 级 7 对 应 最 高 的 内 部 优先 级 CS7。 





表 10-3 缺 省 的 802.1p 优 先 级 与 内 部 优先 级 映射 关系 








802.1p 优先 级 内 部 优先 级 














0 
1 
2 
3 AF3 
4 
Ss 








6 
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2. 内 部 优先 级 与 入 队列 索引 的 映射 关系 

在 实际 部 署 时 有 时 需要 调整 服务 等 级 与 入 端口 队列 的 映射 关系 ， 或 者 将 不 同 的 服务 等 级 放 入 同一 入 端 
口 队列 中 进行 调度 ， 从 而 有 效 地 节约 设备 缓存 。 设 备 按照 内 部 优先 级 将 报 文 送 入 不 同 的 入 端口 队列 ， 从 而 
针对 队列 进行 流量 整形 、 拥 塞 避 免 、 队 列 调度 等 处 理 。 但 不 同 S 系 列 交换 机 的 内 部 优先 级 与 入 队列 的 索引 关 
















































































系 也 有 所 不 同 。 

说 明 

内 部 优先 级 与 入 队列 的 映射 配置 仅 在 S2700SL3700/5700/6700 系列 交换 机 上 支 持 ， 其 他 系列 均 仅 可 采 
用 缺 省 映射 关系 。 























不 同 S 系列 交换 机 中 内 部 优先 级 与 入 队列 索引 之 间 的 映射 关系 有 所 不 同 。 在 S2700-52P-EI2700-52P- 
PWR-EI3700SI3700EI5700HI5710EI 系列 交换 机 中 ， 缺 省 情况 下 ，8 个 内 部 优先 级 与 8 个 入 队列 索引 号 之 间 
是 由 低 到 高 〈 指 优先 级 和 入 队列 索引 号 ) 一 一 对 应 的 映射 关系 ， 如 表 10-4 左 边 部 分 所 示 。 但 在 S2700SI 系 
列 ， 以 及 除 S2700-52P-EI 和 S2700-52P-PWR-EI 之 外 的 其 他 S2700EI 系 列 交换 机 中 ， 因 为 仅 支 持 4 个 入 队列 ， 
所 以 每 两 个 内 部 优先 级 映射 同一 个 入 队列 (如 BE 和 AF1 这 两 个 最 低 的 内 部 优先 级 同时 映射 最 小 的 0 号 队列 ， 
而 CS6 和 CS7 这 两 个 最 高 的 内 部 优先 级 同时 映射 最 大 的 3 号 队列 ) ， 但 总 体 上 也 是 由 低 到 高 一 一 对 应 的 ， 如 
表 10-4 右 边 部 分 所 示 。 

































































表 10-4 S2700/3700/5700 系 列 交 换 机 缺 省 的 内 部 优先 级 与 入 队列 索引 映射 关系 















































S2700-52P-EI/2700-52P-PWR-EI/3700SI/ S2700SI， 以 及 除 S2700-52P-EI 和 
3700EI/5700HI/5710EI 系列 缺 省 的 内 部 优先 级 与 |S2700-52P-PWR-EI 之 外 的 其 他 S2700EI 系列 缺 人 
入 队列 索引 映射 关系 的 内 部 优先 级 与 入 队列 索引 映射 关系 
内 部 优先 级 入 队列 索引 内 部 优先 级 入 队列 索引 
BE 0 BE 0 
AF1 1 AF1 0 
AF2 人 AF2 1 
AF3 3 AF3 1 
AF4 4 AF4 多 
EF 5 EF 2 
CS6 6 CS6 3 
CS7 7 CS7 3 


























在 S6700 系 列 ， 以 及 S7700 系 列 的 ES1D2X40SFC0 单 板 、ES1D2L02QFC0 单 板 ，S9300 系 列 的 
LEODX40SFC00 单 板 、LE1D2L02QFC0 单 板 和 S9300E 的 LE0ODX40SFC00 单 板 和 LH2D2L02QFC0 单 板 ，S9700 
系列 的 EH1D2X40SFC0 单 板 、EH1D2L02QFC0 单 板 中 内 部 优先 级 与 各 队列 之 间 的 对 应 关系 如 表 10-5 所 示 。 
从 中 可 以 看 出 ， 内 部 优先 级 和 入 队列 的 映射 关系 还 要 看 报 文 是 否 是 已 知 的 单 播报 文 ， 如 果 是 已 知 单 播报 
文 ， 则 与 前 面 介绍 的 表 10-4 左 边 部 分 完成 一 样 ， 只 是 针对 非 已 知 单 播报 文 情况 下 的 映射 关系 有 所 不 同 。 






















































































表 10-5 S6700 系 列 ， 以 及 S7700/9300/9700 系 列 部 分 单 板 缺 省 的 内 部 优先 级 与 入 队列 索引 映射 关系 








内 部 优先 级 





队列 索引 内 部 优先 级 队列 索引 








BE 〈 非 已 知 单 播报 文 ) 0 BE (已 知 单 播报 文 ) 0 











AF1〔 非 已 知 单 播报 文 ) 


AF1 (已 知 单 播报 文 ) 




















1 1 
AF2〔 非 己 知 单 播报 文 ) ] AF2 ( 己 知 单 播报 文 ) 2 
AF3《〈 非 已 知 单 播报 文 ) 1 AF3 (已 知 单 播报 文 ) 3 
AF4 非 已 知 单 播报 文 ) 2 AF4 (已 知 单 播报 文 ) 4 
EF〈 非 已 知 单 播报 文 ) 2 EF (已 知 单 播报 文 ) 5 
CS6《〈 非 已 知 单 播报 文 ? 6 CS6 (已 知 单 播报 文 ) 6 














CS7《 非 己 灸 








] 单 播报 文 ) 
在 S5700SU5700EI5700LI5700S-LI5700HIU5710EI 子 系列 ， 以 及 S7700/9300/9700 系 列 交换 机 其 他 单 板 














CN 


CS7 (已 知 单 播报 文 ) 




















中 内 部 优先 级 与 各 队列 之 间 的 对 应 关系 与 表 10-4 左 边 部 分 相同 ， 也 是 由 低 到 高 〈 指 优先 级 和 入 队列 索引 


号 ) 一 一 对 应 的 。 











10.3 流量 监管 和 流量 整形 






























































率 来 限制 流量 及 其 资源 的 使 用 。 














如 果 不 限制 用 户 发 送 的 业务 流量 ， 大 量 用 户 不 断 突 发 的 业务 数据 会 使 网 络 更 加 拥挤 。 为 了 使 有 限 的 网 
络 资源 能 够 更 好 地 发 挥 效 用 ， 更 好 地 为 更 多 的 用 户 服 务 ， 必 须 对 用 户 的 业务 流量 加 以 限制 。 本 节 将 要 介绍 
的 流量 监管 (TP，Traffic Policing〉 和 流量 整形 (TS， Traffic Shaping) 就 可 以 通过 监督 进入 网 络 的 流量 速 










































































进行 流量 监管 和 流量 整形 有 一 个 前 提 条 件 ， 就 是 要 判断 流量 是 否 超出 了 规 

































































格 ， 然 后 才能 根据 评估 结果 实施 调控 策略 。 在 流量 监管 和 流量 整形 功能 实现 中 ， 一 般 采 用 令 牌 桶 〈Token 





Bucket) 对 流量 的 规格 进行 评估 。 











10.3.1 QoS 令 牌 桶 基本 工作 原理 

























































































下 面 先 有 具体 了 解 一 下 “ 令 牌 桶 ”技术 原理 。 























这 里 的 “ 令 牌 桶 ?是 指 网 络 设备 的 内 部 存储 池 《〈 也 就 是 用 于 缓存 数据 的 内 存 ) ， 而 “ 令 牌 ”(Token) 则 是 
此 以 给 定 速率 填充 令 牌 桶 的 虚拟 信息 包 。“ 令 牌 桶 "可 以 简 身 



































ny 


理解 为 一 个 水 桶 ， 而 “ 令 牌 ” 则 可 以 理解 为 通过 




















根 水 管 流 到 水 桶 中 的 水 。 













































































交换 机 在 入 端口 接收 每 个 帧 时 都 将 一 个 令 牌 添加 到 令 牌 桶 中 ， 但 这 个 令 牌 桶 底部 有 一 个 孔 ， 不 断 地 按 
你 指定 作为 平均 通信 速率 (单位 为 biys〉 的 速度 领 出 令 牌 (也 就 是 从 桶 中 删除 令 牌 的 意思 ) ， 其 实 就 是 不 断 
地 从 出 端口 发 送 数据 的 过 程 。 相 当 于 一 个 水 桶 的 上 边 连接 一 根 进 水 的 水 管 ， 而 下 边 又 连接 一 根 到 用 水 的 地 
方 的 出 水 管 。 在 每 次 向 令 牌 桶 中 添加 新 的 令 牌 包 时 ， 交 换 机 都 会 检查 令 牌 桶 中 是 否 有 足够 容量 (也 就 是 在 


























要 向 桶 中 加 水 前 ， 先 要 检查 桶 内 









































































































































是 否 已 满 了 ) ， 如 果 没 有 足够 的 空间 ， 包 将 被 标记 为 不 符 规定 的 包 ， 这 时 






































在 包 上 将 发 生 指定 监管 器 中 规定 的 行为 (丢弃 或 标记 ) 。 就 相当 于 如 果 当 前 水 桶 满 了 ， 但 上 边 水 管 的 水 还 





是 来 了 ， 这 时 要 么 让 这 些 水 白白 
进去 ， 供 用 户 使 用 。 










































































流 到 桶 外 ， 要 么 把 这 些 水 用 其 他 容器 先 装 起 来 ， 等 水 桶 中 不 再 水 满 时 再 倒 



































最 初 的 令 牌 桶 模型 考虑 的 是 单 令 牌 桶 结构 ， 这 个 令 牌 桶 称 为 CBS〈Committed Burst Size， 承 诺 突 发 尺 









































寸 ) ， 简 称 C 桶 ， 而 向 C 桶 中 填充 令 牌 的 平均 速率 称 之 为 CIR 〈(Committed Information Rate， 厌 诺 信息 速 
率 ) ， 如 果 用 T. 表示 当前 令 牌 桶 中 的 令 牌 数 ， 则 这 个 单 令 牌 桶 的 基本 工作 原理 可 以 用 图 10-5 来 表示 。 用 文 













































































字 描 述 如 下 《假设 用 B 来 表示 新 接收 的 数据 包 大 小 ) : 








(1) 系统 按照 CIR 速 率 向 令 牌 桶 《相当 于 交换 体 机 缓存 ) 中 投放 令 收 


包 ) 。 


(2) 当 T。 
(Conform) 可 完整 地 被 缓存 到 令 


要 相应 减少 B。 

















(3) 如 果 B>T. ， 则 表示 新 接 





个 数据 包 被 标 i 

令 牌 桶 填 满 的 时 
发 的 急速 水 流 ) 持续 
帧 数 限制 ”得 出 〈 也 就 
出 ， 在 通信 流 上 不 会 发 生 行为 ;1{ 
发 过 程 中 的 帧 采取 相应 的 流 监管 策 














令 








度 ) 、 





























<CBS 时 再 





比较 B 与 T。 





Tokens 


CIR 





加 四 国 四 
加 加 四 > 国 加 加 
加 里 四 
Packets (B) Violate 

de 

OOO 

四 鱼 

Conform 
































图 10-5 令 牌 桶 的 基本 工作 作 原 理 
































的 大 小 关系 。 如 果 B<T。， 则 表示 





新 接收 的 数 


《相当 于 从 端口 








己 为 红色 ， 















































时 间 这 3 个 方 
类 似 突 发 水 流 
晶 是 如 果 突 发 时 间 比 


则 长 短 是 由 令 
(类 似 桶 下 边 接 的 水 管 的 水 速 》 和 超过 





复 桶 深度 (也 就 是 交换 机 的 缓存 大 小 ， 











棚 中 ， 此 时 数据 包 将 被 标记 为 绿色 《表示 允许 转发 的 ) ， 


要 的 数据 包 大 小 违规 (Violate ) 不 能 完整 地 被 缓存 到 令 牌 桶 ， 
并 将 被 直接 丢弃 ，Te 值 不 减少 。 





居 包 大 小 符合 规定 
当前 的 T. 值 





已 





上 接收 到 数 折 











单位 为 bit， 类 似 于 水 桶 的 深 



































用 共同 决定 。 令 有 牌 桶 的 大 小 是 通过 “ 突 




















i 持续 的 时 间 * 突 发 水 流 的 流速 》 






































在 令 牌 桶 处 到 


























算法 ， 其 评估 
在 具体 算法 中 介 























吉 果 都 是 为 包 打 上 红 、 黄 、 
QoS 会 根 所 


绍 ) 。 








介绍 ) 。 本 节 


srTCM ( 单 速率 三 色 标 记 ) 
黄色 和 红色 。 


标记 ， 即 绿色 、 


E 包 的 行为 方面 ， 
single rate three color marker) 算法 和 RFC 2698 定 义 的 双 速 率 三 












































突 发 ， 而 双 速 率 三 色 标 记 则 关注 速率 上 的 突 发 ， 两 种 算法 都 可 工作 于 








EE 


绿 三 色 标 记 《〈 所 以 称 为 “三 色 标 记 ”， 

















F 均 速率 的 突 发 流量 


较 长 ， 并 且 速 率 比较 高 ， 
略 行为 《也 就 是 在 水 桶 水 满 后 对 溢出 的 水 的 处 理 方法 ) 。 





。 如 果 突 发 时 间 比 较 短 ， 令 牌 
令 牌 桶 将 溢出 ， 











(类 似 于 上 桶 上 边 水 管 



























































\ 体 含义 将 















































先 介 绍 单 速率 三 色 标 记 算 法 原理 。 
是 一 种 “ 单 速 双 桶 ”算法 ， 它 可 对 流量 进行 涡 


色盲 模式 和 非 色 育 模 式 〈 








， 此 时 整 


ES 


大 


突 发 时 长 上 限 ” 乘 以 “点 对 点 传输 时 的 
甬 不 会 洲 


这 时 将 对 突 


主要 包括 两 种 令 牌 桶 算法 : RFC 2697 定 义 的 单 速率 三 色 标记 〈srTCM， 
色 标 记 (trTCM，two rate three color marker) 
”， 有 关 这 些 颜 色 的 
居 包 的 颜色 ， 设 置 包 的 丢弃 优先 级 ， 其 中 单 速 率 三 色 标 记 比 较 关 心包 尺寸 的 


各 
























































l 评 ， 


根据 评 
































里 首先 要 理解 “ 单 速 


























两 个 令 


”是 指 算法 中 的 














这 是 

















机 有 同样 





的 承诺 信息 速率 


人体 在 下 


估 结 果 为 报 文 打 颜 








页 色 


Es 

















CCIR) ， 也 就 是 




















C 桶 ) 和 超出 令 牌 桶 容量 的 突 发 令 牌 桶 《也 前 





使 用 的 水 桶 ， 另 
三 色 标 记 算法 原理 。 









































Qo 

国 国 国 ~-- 

mo 

Packets (B) 
1. srTCM 算 法 的 3 个 参数 





SITCM 算 法 关注 的 是 数 志 








许 传输 或 转发 报 文 的 平均 速率 。 


居 包 的 突 发 尺寸 ， 数 于 
(1) 承诺 信息 速率 (CIR，Committed Information Rate): 表示 向 C 桶 ! 


有 相同 平均 访问 速率 ;这 两 个 令 牌 桶 分 别 是 正常 使 用 的 令 
































是 下 四 




















个 是 当 正 常 使 用 的 水 桶 满 后 用 于 装 多 余 水 的 水 桶 ， 如 图 10-6 所 示 。 下 面具 体 











Tokens 
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CIR 


Overflow 












































有 h 桶 《也 就 是 下 面 将 要 说 到 的 
j 将 要 说 到 的 E 桶 ) ， 可 以 理解 为 两 个 水 桶 ， 一 个 是 正常 
解释 单 速率 
































EBS 





@a Oo 国 四 
国 国 国 OOO (ui 
@® aaQ 加 时 
Conform Exceed Violate 
图 10-6 单 速 双 桶 示意 图 
四 包 的 色 标 记 评 估 依 据 以 下 3 个 参数 。 









































填充 令 牌 的 平均 速率 ， 即 C 桶 多 

















(2) 承诺 突 发 尺寸 (CBS，Committed Burst Size) : 表示 C 桶 的 容量 ， 即 指 每 次 突 发 所 允许 的 最 大 的 


yy 
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Pa 

















量 尺 寸 ， 也 相当 于 允许 的 最 大 取 令 


~ 











IL 








仿 











有 ) 。 


(3) 超额 突 发 尺寸 (EBS，Excess Burst Size) : 表示 下 


由 





Rs 
单 速率 三 色 机 制 采 用 双 桶 结 





色 





的 速率 ， 等 于 桶 的 





三 








es 

















合 坚 











(最 大 时 一 个 包 就 可 以 





部 领取 桶 中 的 全 部 























前 的 容 

















量 ， 即 每 次 突 发 允许 超出 CBS 的 最 大 流 














Ck 























EBS 两 种 速率 的 头 个 字母 一 致 ， 便 





放 在 E 令 牌 桶 中 。 











构 : C 桶 和 E 桶 《之 所 以 用 这 两 个 字母 来 表示 ， 为 的 就 是 与 前 








i 述 ) ， 且 两 个 令 牌 桶 的 CIR 一 样 。 当 C 令 





看 说 的 CBS 和 

































































ah 桶 满 时 ， 超 出 的 令 牌 也 会 














Te 和 Te 分 别 表示 C 令 牌 桶 和 EE 令 














量 分 别 为 CBS 和 EBS， 也 就 是 对 应 前 




















Te 初始 值 分 别 等 于 CBS 和 EBS。 正 常 


TH 



































2. srTCM 算 法 原理 








后 面 来 的 令 牌 才 放 到 E 令 牌 桶 中 ， 为 出 现 的 突 发 数 























个 令 牌 。 添 加 的 顺序 是 先 添 加 C 
系统 按照 CIR 速 率 向 桶 中 填充 令 牌 。 
(1) 车 T. <CBS， 则 T. 增加 。 























前 再 添加 E 桶 ， 当 两 个 令 











































































































aR 桶 中 的 令 牌 数 ， 也 就 是 桶 中 当前 的 容量 (单位 也 为 bit〉， 两 桶 的 总 容 

看 介 绍 的 承诺 突 发 开 士 和 超额 突 发 尺寸， 最 初 它们 都 是 满 的 ， 即 Te 和 

情况 下 不 会 使 用 第 二 个 令 牌 桶 (也 就 是 E 桶 ) ， 只 有 当 C 令 牌 桶 满 后 ， 
时 提 供 信用 令 牌 〈 也 就 是 经 过 允许 的 令 牌 ) 。 








在 SrTCM 算法 中 ， 两 个 令 牌 桶 中 令 牌 的 添加 是 按照 相同 的 CIR 速率 进行 的 。 即 每 隔 ICIR 时 间 添 加 一 























RE 桶 中 的 令 牌 都 满 时 ， 再 产生 的 令 














就 会 被 丢弃 。 


(2) 若 T.=CBS，T。<EBS， 则 T。 增 加 。 

(3) 若 T.=CBS，T。=EBS， 则 都 不 增加 。 

对 于 到 达 的 报 文 ， 用 B 表 示 报 文 的 大 小 。 

(1) 若 B<T.， 报 文 被 标记 为 绿色 ， 且 Te 减少 B。 
(2) 若 Te<B<T。， 报 文 被 标记 为 黄色 ， 且 Te 减少 B 


(3) 若 T。<B， 报 文 被 标记 为 纪 
3. srTCM 算 法 中 的 
在 发 送 数据 包 时 ， 令 牌 





(Ccolor-blind ) 


前 示 灯 中 的 3 种 颜色 类 似 ， 
延迟 发 送 ， 绿 色 为 合法 数 提 
在 色盲 (color-blind) 
































模式 和 感 色 





























向 
























































据 包 长 度 来 确定 包 被 标记 上 
T。( 也 就 是 C 桶 中 的 令 牌 数 足够 该 包 发 送 所 需 ) ， 贝 
令 牌 数 T. 减少 B。 如 果 T. <B<T。 
黄色 ， 则 从 E 桶 中 取出 所 需 
包 ， 直 接 丢 弃 ， 
在 感 色 (color-aware) 模式 下 是 假设 包 在 此 之 前 已 经 过 “着 
果 包 已 被 标记 为 绿色 ， 或 包 长 度 B<T。 







































































[ 色 ， 且 T. 和 T。 都 不 减少 。 
民 文 着 色 处 j 
的 使 用 下 EE 又 定义 了 3 种 颜色 分别 为 红色 、 评 
(color-aware ) 模式 ， 蚀 























居 包 ， 直 接 发 送 。 








黄色 和 绿色 ) 以 及 
省 为 色盲 模式 。3 种 颜色 的 功能 与 我 们 
红色 表示 违规 数据 ， 直 接 丢 弃 ， 黄 色 表 示 数 据 包 虽 然 违 法 ， 但 不 直接 丢弃 ， 而 是 





两 种 模式 : 


日 常生 活 中 的 交通 








色盲 






























































模式 下 假设 包 都 是 没有 经 过 “着 色 ” 处 至 
的 颜色 。 现 假设 到 达 

















的 包 长 度 为 B (单位 为 bit〉。 
| 包 被 标记 为 绿色 ， 表 示 包 符合 要 求 ， 包 发 送 后 C 桶 中 的 























两 令 牌 桶 中 的 总 令 牌 数 都 不 减少 。 











桶 中 的 令 

桶 中 的 令 

少 。 

10.3.3 双 速 率 三 色 标 记 算法 








ttTCM( 双 速率 三 色 标 记 ) 是 一 种 双 桶 双 速 算法 ， 
记 ， 即 绿色 、 黄 色 和 红 


























(也 就 是 包 长 度 大 于 C 桶 中 的 令 牌 数 ， 而 小 于 E 桶 中 的 令 牌 数 〉， 


























色 ” 处 理 














(注意 只 要 满足 其 中 一 个 条 件 即 可 ， 





























色 ， 或 B>T。， 则 包 被 标记 为 红 



























































色 。 这 











CIR 速 率 不 同 ， 存 在 两 个 令 牌 填充 速率 。 





里 同样 首先 要 搞 清 楚 “ 双 速率 ”是 什么 























PBS “之 所 以 用 C 桶 和 P 机 
一 个 字母 对 应 为 C， 或 者 P) 。 


























值 分 别 等 于 CBS 和 PBS。 


色 标 记 算法 不 同 ， 双 速率 三 色 标 记 算法 中 
图 10-7 所 示 。 但 它们 的 令 牌 填充 速率 是 不 同 的 ，C 桶 填充 速率 为 CIR，P 桶 为 PIR: 两 桶 的 
于 方便 描述 ， 因 为 表示 不 同 速率 的 参数 与 对 应 桶 的 容量 参数 相同 ， 第 
jT。 和 T， 表示 两 桶 中 的 令 牌 数目 


前 表示 也 是 基 












































的 两 个 令 牌 桶 是 C 桶 和 了 可 


令 牌 ，E 桶 中 的 令 牌 数 T。 减少 B; 若 B >T。， 标 记 为 红色 ， 表 示 是 违反 规定 的 


色 


mm 








意思 ， 它 是 指 该 算法 ! 











的 《不 辨别 包 中 原来 标记 的 颜色 ) ， 是 根 


若 包 长 度 B 小 于 C 桶 ! 























的 令 牌 数 














则 标记 为 

















《会 辨别 包 中 原来 标记 的 颜色 ) ， 如 
下 同 ) ， 则 包 被 标记 为 绿色 ，C 








数 T 值 随 之 也 相应 减少 B， 如 果 包 已 被 标记 为 黄色 ， 或 T。 <B<T。， 则 包 被 标记 为 黄色 ， 同 时 E 


数 T。 也 随 之 相应 减少 B; 如 果 包 已 被 标记 为 红 T。 和 T。 都 不 减 


也 可 对 流量 进行 测评 ， 根 据 评估 结果 为 报 文 打 颜 色 标 
两 个 令 牌 桶 中 的 












































前 《不 是 C 桶 和 E 桶 ) ， 如 


容量 分 别 为 CBS 和 





， 初 始 状态 时 两 桶 是 满 的 ， 即 Tv 和 T， 初始 


1. 


trTCM 算 法 关注 的 是 速率 的 突 发 ， 但 它 不 像 和 
二 个 桶 中 ， 而 是 使 用 两 个 独立 的 令 牌 


Packets (B) 





trTCM 算 法 的 4 个 参数 





Tokens 


PIR 





Violate 





图 10-7 双 速 双 





Tokens 





















































CBS。 数 据 的 测量 
否 符合 规定 的 突 发 要 求 ， 而 不 是 正常 性 

trTCM 算 法 主要 是 根据 4 种 流量 参数 来 记 
峰值 突 发 尺寸 (PBS，Peak Burst Size) 


是 允许 的 最 大 突 发 信息 传输 速率 ，， 即 P 桶 允许 


Rate) ， 


PB 
2:; 


的 ; 











前 。 第 


个 令 脾 

















是 先 比较 PIR， 再 比 












































较 CIR。 也 就 是 在 双 速 率 三 
青 况 下 的 色 标 方法 。 
估 : CIR、CBS、 峰 值 
。CIR 和 CBS 参 数 与 和 
传输 或 转发 报 文 的 峰 




















S 是 允许 的 最 大 突 发 信息 尺 
trTCM 算 法 原理 























在 tTCM 算 法 中 ， 系 统 按照 PIR 速 率 向 P 桶 r 
(1) 当 T <PBS 时 ，P 术 















































对 于 到 达 的 报 文 ， 用 B 表 示 报 文 的 大 小 。 
(1) 若 T <B， 报 文 被 标记 为 红色 。 


(2) 若 Te <B<Ty ， 报 文 被 标记 为 黄 
(3) 若 BsTe ， 报 文 被 标记 为 绿色 ， 且 Tp 和 
trTCM 算 法 中 的 报 文 着 色 处 理 
在 tTCM 算 法 中 也 有 1 
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P 桶 中 获 











取 令 有 牌 的 部 分 包 被 标记 为 黄色 











色盲 模式 和 人 色 敏 模式 两 种 。 
色盲 模式 下 ， 当 包 速 率 大 于 PIR， 此 时 未 超过 T, +T。 部 分 的 包 会 分 另 








有 色 ， 且 T, 减少 B。 
T。 都 减少 B。 


























色 标 记 中 ， 





























! YES 
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aq @ 

Exceed Conform 

甬 示意 图 
速率 三 色 标 记 算 法 那样 把 第 一 个 桶 中 未 使 用 的 令 牌 放 到 第 





和 为 PIR， 大 小 为 PBS， 第 二 个 令 牌 桶 为 CIR， 大 小 为 





























首先 判断 的 是 数据 发 送 速率 是 





言 息 速率 (PIR，Peak Information 











速率 三 色 法 中 的 含义 相同 ，PIR 就 














值 速 率 ， 汉 多 





汉 多 


它 的 值 肯定 不 会 小 于 CIR 








寸 ， 表 示 P 桶 的 容量 ， 它 的 值 也 不 会 小 于 CBS。 





填充 令 牌 ， 按 照 CIR 速 率 向 C 桶 ! 
前 中 令 牌 数 增加 ， 和 否则 不 增加 。 
(2) 当 T. <CBS 时 ，C 桶 中 令 牌 数 增加 ， 人 否则 不 增加 。 








填充 令 牌 。 














1 从 P 桶 和 C 桶 中 获取 令 牌 而 且 从 











色 ， 从 C 桶 中 获取 令 牌 的 部 分 包 被 标记 为 绿色 ， 超 过 T, +Te 部 分 无 法 得 





到 令 牌 的 包 被 标记 为 红色 ， 当 包 速 率 小 于 PIR， 而 大 于 CIR 时 ， 包 可 以 得 到 令 牌 ， 但 超过 Te 部 分 的 包 将 从 P 
桶 中 获取 令 牌 ， 此 时 这 部 分 包 都 被 标记 为 黄色 ， 而 从 C 桶 中 获取 令 牌 的 包 被 标记 为 绿色 ， 当 包 速 率 小 于 CIR 
时 ， 包 所 需 令 牌 数 不 会 超过 Te. ， 只 需 从 C 桶 中 获取 令 牌 ， 包 被 标记 为 绿色 。 

在 色 敏 模式 下 ， 如 果 包 已 被 标记 为 红色 ， 或 者 超过 T +Te 部 分 无 法 得 到 令 牌 的 包 ， 被 标记 为 红色 ; 如 
果 标 记 为 黄色 ， 或 者 超过 Te 但 未 超过 T, 部 分 包 标 记 为 黄色 ;， 如果 包 被 标记 为 绿色 ， 或 者 未 超过 T. 部 分 
包 ， 被 标记 为 绿色 。 
































































































































“流量 监管 ”Traffic Policing ) 就 是 对 流量 进行 控制 ， 通 过 监督 进入 交换 机 端口 的 流量 速率 ， 对 超出 部 
分 的 流量 进行 “惩罚 * (采用 监管 方式 时 是 直接 丢弃 )， 使 进入 端口 的 流量 被 限制 在 一 个 合理 的 范围 之 内 。 
例如 可 以 限制 HITP 报 文 不 能 占用 超过 50% 的 网 络 带宽 ， 否 则 QoS 流量 监管 功能 可 以 选择 丢弃 报 文 ， 或 重新 
配置 报 文 的 优先 级 。 

流量 监管 的 基本 工作 机 制 如 图 10-8 所 示 ， 由 以 下 三 部 分 组 成 。 

(1) Meter (度量 器 ) : 通过 令 牌 桶 机 制 对 网 络 流量 进行 度量 ， 然 后 向 Marker 〈 标 记 器 ) 输出 度量 结 













































































































































































(2) Marker 〈 标 记 器 ) : 根据 Meter 的 度量 结果 对 报 文 进行 染色 ， 报 文 会 被 标识 成 green、yellow、red 
三 种 颜色 。 

(3) Action: 根据 Marker 对 报 文 的 染色 结果 ， 对 报 文 进行 一 些 行为 ， 行 为 如 下 。 

Q pass: 对 测量 结果 为 “符合 ”的 报 文 继续 转发 。 

@@ remark + pass: 修改 报 文 内 部 优先 级 后 再 转发 。 

G@) discard: 对 测量 结果 为 “不 符合 ”的 报 文 进行 丢弃 。 
缺 省 情况 下 ， 对 green、yellow 颜 色 的 报 文 进行 转发 ， 对 red 报 文 进行 丢弃 。 











































































































输入 数据 流 | Action |=》 输出 数据 流 


图 10-8 流量 监管 基本 工作 机 制 示意 图 















































当 网 络 发 生 拥塞 后 ， 超 出 的 流量 将 采取 其 他 方式 处 理 。 如 果 人 处理 方 式 为 监管 ， 那 么 数据 包 就 会 被 丢 
弃 。 通 常情 况 下 ， 网 络 设备 缺 省 丢弃 后 到 的 数据 包 而 传输 先 到 的 数据 包 ， 这 样 的 丢弃 方式 称 为 尾 丢 弃 。 也 
可 以 让 网 络 设 备 在 发 生 拥塞 时 ， 先 丢弃 低 优 先 级 的 数据 包 而 传输 高 优先 级 的 数据 包 。 

总 体 而 言 ， 经 过 流量 监管 后 ， 如 果 某 流量 速率 超过 标准 ， 设 备 可 以 选择 降低 报 文 优先 级 再 进行 转发 或 
者 直接 丢弃 。 缺 省 情况 下 ， 此 类 报 文 被 丢弃 。 如 图 10-9 是 一 种 经 过 流量 监管 后 的 流量 变化 示意 图 ， 超 出 
CAR 的 流量 均 被 < 削 ? 掉 了 。 
























































































































































Traffic Traffic 


CAR 


CAR [ft OSE 
| 监管 后 报 文 流 


TI Time TI Time 











图 10-9 经 过 浏览 监管 后 的 流量 变化 示意 图 


10.3.5 流量 整形 


























“流量 整形 ”为 控制 最 大 输出 通信 速率 提供 可 能 ， 以 确保 通信 符合 配置 的 最 大 传输 速率 规定 。 符 合 某 种 
配置 的 通信 可 能 被 整形 ， 以 使 它 符合 下 游 设备 的 通信 速率 需求 ， 处 理 任何 失 配 的 数据 传输 速率 。 流 量 整形 
通常 使 用 缓冲 区 和 令 牌 桶 来 完成 ， 当 报 文 的 发 送 速率 过 快 时 ， 首 先 在 缓冲 区 进行 缓存 ， 在 令 牌 桶 的 控制 下 
再 均匀 地 发 送 这 些 被 缓冲 的 报 文 。 

当下 游 设 备 的 接口 速率 小 于 上 游 设备 的 端口 速率 或 发 生 突 发 流量 时 ， 在 下 游 设 备 入 端口 处 可 能 出 现 流 
量 拥塞 的 情况 。 此 时 用 户 可 以 通过 在 上 游 设 备 的 出 端口 配置 流量 整形 ， 将 上 游 不 规整 的 流量 进行 前 峰 填 
谷 ， 输 出 一 条 比较 平整 的 流量 ， 从 而 解决 下 游 设 备 的 拥塞 问题 。 

流量 整形 是 一 种 可 应 用 于 接口 、 子 接口 或 队列 的 流量 控制 技术 ， 可 以 对 从 接口 上 经 过 的 所 有 报 文 或 某 
类 报 文 进行 速率 限制 。 下 面 以 接口 或 子 接口 下 采用 单 速 单 桶 技术 的 基于 流 的 队列 整形 为 例 介 绍 流量 整形 的 
处 理 流 程 ， 其 处 理 流 程 如 图 10-10 所 示 。 具 体 处 理 流 程 如 下 。 



































































































































































































































闭口 队列，。 不 震 要 进行 队列 加 形 的 报 文 站 
进入 的 报 文 流 CC] ;1 | 
Er : ; 。。 令 牌 密 按 规定 向 令 牌 4 
ee | 需要 进行 队列 ， 桶 中 填充 令 牌 ， 

国 国内 盖 ;整形 的 报 文 





-------- > 
超过 速率 限 ， 

制 的 报 文 加 
缓存 于 队列 ( 豆 区 十---------: 


@@@ 缓存 队列 满 


国 国 ”时 丢弃 报 文 


图 10-10 流量 整形 处 理 流程 图 


























《1) 当 报 文 到 达 设 备 端口 时 ， 首 先 对 报 文 进行 简单 分 类 ， 使 报 文 进入 不 同 的 队列 。 
(2) 若 报 文 进入 的 队列 没有 配置 队列 流量 整形 功能 ， 则 直接 发 送 该 队列 的 报 文 ， 否则， 进入 下 一 步 处 









































理 。 


























(3) 按 用 户 设 定 的 队列 整形 速率 向 令 牌 桶 中 存放 令 牌 。 
QD 如 果 令 牌 桶 中 有 足够 的 令 牌 可 以 用 来 发 送 报 文 ， 则 报 文 直接 被 发 送 ， 在 报 文 被 发 送 的 同时 ， 令 牌 做 















































相应 的 减少 。 




















@ 如 果 令 牌 桶 中 没有 足够 的 令 牌 ， 则 将 报 文 放 入 缓存 队列 ， 如 果 报 文 放 入 缓存 队列 时 ， 缓 存 队 列 已 





则 丢弃 报 文 。 

















照 子 接口 
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区 别 在 于 ; 








桶 中 的 令 牌 数 作 比 较 











全 部 发 送 完 毕 为 止 。 


说 明 








整形 速率 、 接 








(4) 缓存 队列 中 有 报 文 的 时 候 ， 系 统 按 一 定 的 周 





， 直 到 令 牌 桶 中 的 令 牌 数 减 少 到 缓存 队列 中 的 报 文 不 能 再 发 送 或 缓存 队列 ! 


























期 从 缓存 队列 中 取出 报 文 进行 发 送 ， 每 次 发 送 都 会 与 


























的 报 
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YY AAA 十 - 
流量 监管 直接 











将 不 符合 速率 要 求 和 
丢弃 报 文 ， 但 引入 
流量 监管 适用 于 对 丢弃 率 不 敏感 ， 
量 整形 适用 于 对 时 延 和 扫 
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流 晶 


1 























村 延 和 拉 


经 过 以 上 队列 整形 后 ， 如 果 该 接口 或 子 接口 同时 配置 了 基于 端口 的 流量 整形 功能 ， 
口 整 形 速率 对 报 文 流 进行 速率 控制 。 其 处 理 





整形 和 流量 监管 都 是 作用 于 网 络 边缘 ， 对 进入 设备 端口 
天 弃 不 符合 速率 要 求 的 报 文 ， 天 弃 的 报 文 比较 多 ， 可 能 引发 重 








的 报 文 先行 缓存 ， 当 令 牌 
动 ， 需 要 较 多 的 缓冲 资源 缓存 报 文 。 所 以 这 两 种 功能 的 应 用 领 ] 
动 比较 敏感 的 网 络 应 用 ， 如 一 些 普 通 的 话音 和 视频 通信 ， 
动 不 敏 感 的 网 络 应 用 ， 如 数据 传输 、WWW 访 问 等 。 





























0.4 拥 








塞 避免 和 拥塞 管理 


























当 网 络 间 坎 性 地 出 现 拥 塞 ， 且 
















































































而 对 时 延 和 撞 














进行 拥塞 管理 ， 如 果 配 置 拥塞 管理 后 仍然 出 现 拥塞 ， 则 需要 增加 带宽 。 




















则 系统 还 要 逐 级 按 
流程 与 上 述 流程 相似 ， 但 不 需要 步骤 1 和 
























































的 流量 进行 的 一 种 处 理 方式 。 它 们 的 主要 


和 专 ， 而 流量 整形 是 














到、 




















前 有 足够 的 令 牌 时 再 均匀 地 向 外 发 送 这 些 被 缓存 的 报 文 ， 较 少 





或 也 不 尽 相同 ， 












































时 延 敏感 业务 要 求 得 到 比 非 时 延 敏感 业务 更 高 质量 的 QoS 服 务 时 ， 需 要 












































































































































































































































j 塞 避免 《Congestion Avoidance) 

是 指 通过 监视 网 络 资源 《〈 如 队列 或 内 存 缓冲 区 ) 的 使 用 情况 ， 在 拥塞 发 生 或 有 加 剧 的 趋势 时 主动 丢弃 报 
文 ， 通 过 调整 网 络 的 流量 来 解除 网 络 过 载 的 一 种 流 控 机 制 。 

为 了 解决 网 络 拥塞， 可 以 通过 拥塞 避免 在 网 络 出 现 拥 塞 时 主动 丢弃 一 些 报 文 ， 解 除 网 络 过 载 ， 为 了 使 
用 户 得 到 更 好 的 服务 质量 ， 可 以 通过 拥塞 管理 对 关键 业务 优先 调度 ， 使 得 这 些 业务 得 到 更 高 的 QoS 服务 。 
10.4.1 拥塞 避免 

华为 $ 系 列 交 换 机 主要 支 持 以 下 两 种 拥塞 避免 功能 。 

1. 尾部 丢弃 

传统 的 丢 包 策略 采用 尾部 丢弃 的 方法 ， 且 是 同等 地 对 待 所 有 报 文 ， 不 区 分 报 文 的 服务 等 级 。 这 时 在 拥 
塞 发 生 期 间 ， 队 列 尾部 的 数据 报 文 将 被 丢弃 ， 直 到 拥塞 解除 。 但 这 种 丢弃 策略 会 引发 TCP 全 局 同步 现象 。 
所 谓 TCP 全 局 同步 现象 ， 是 指 当 多 个 队列 同时 丢弃 多 个 TCP 连 接 报 文 时 ， 将 造成 多 个 TCP 连 接 同时 进入 拥 
避免 和 慢 启 动 状态 ， 以 降低 并 调整 流量 ， 而 后 这 几 个 TCP 连 接 又 会 在 某 个 时 刻 同 时 出 现 流量 高 峰 。 如 此 反 
复 ， 使 网 络 流量 包 大 忽 小 ， 影 响 链 路 利用 率 。 











2. RED/SRED/WRED 




















在 华为 $ 系 列 交换 机 中 ， 对 RED (Random Early Detection， 随 机 早期 检测 ) 、SRED (Simple Random 


Early Detection， 人 简单 随机 早期 检测 ) 和 WRED (Weighted Random Early Detection， 权 重 随 机 早期 检测 ) 三 














种 

















象 。 


























j 塞 避免 技术 有 不 同 的 支持 。 
RED 技术 是 通过 随机 地 丢弃 报 文 让 多 个 TCP 连接 不 同时 降低 发 送 速率 ， 从 而 避免 了 TCP 的 全 局 同步 珊 














在 RED 技 术 的 算法 ， 











中 





已 





， 为 每 个 队列 的 长 度 都 设 定 了 阔 值 的 上 、 下 限 值 ， 并 有 以 下 规定 。 









































(1) 当 队 列 的 长 度 小 于 阔 值 下 限时 ， 不 丢弃 报 文 。 

(2) 当 队 列 的 长 度 大 于 阔 值 上 限时 ， 丢 弃 所 有 新 收 到 的 报 文 。 

(3) 当 队 列 的 长 度 在 闷 值 上 限 和 阔 值 下 限 之 间 时 ， 开 始 随 机 丢弃 到 来 的 报 文 。 方 法 是 为 每 个 到 来 的 报 
文 赋予 一 个 随机 数 ， 并 用 该 随机 数 与 当前 队列 的 丢弃 概率 比较 ， 如 果 大 于 丢弃 概率 则 报 文 被 丢弃 。 队 列 越 
长 ， 报 文 被 丢弃 的 概率 越 高 。 

SRED 技 术 是 在 RED 技 术 基 础 上 诞生 的 。 在 接口 出 队列 上 ，SRED 会 根据 报 文 的 优先 级 而 不 是 随机 选 
择 要 丢弃 的 报 文 ) 将 其 区 分 为 红色 、 黄 色 ， 并 分 别 为 红色 和 黄色 的 报 文 设 定 起 始 丢 包 点 和 丢 包 率 ， 然 后 通 
过 按照 一 定 的 丢弃 概率 主动 丢弃 队列 中 的 红色 甚至 黄色 报 文 ， 从 而 调整 从 接口 输出 的 流量 速率 。 

WRED 技 术 也 是 在 RED 技 术 基 础 上 改进 的 ， 与 SRED 一 样 也 是 基于 报 文 优先 级 来 选择 丢弃 报 文 的 ， 但 
WRED 同 时 还 可 为 相同 颜色 的 不 同 报 文 设置 不 同 的 丢弃 权重 ， 以 实现 更 加 灵活 的 报 文 丢弃 策略 ， 使 高 优先 
级 报 文 被 丢弃 的 概率 相对 较 小 。 








































































































































































































10.4.2 拥塞 管理 






































拥塞 管理 一 般 采 用 队列 调度 技术 ， 使 用 不 同 的 调度 算法 来 发 送 队 列 中 的 报 文 流 。 根 据 排队 和 调度 策略 
的 不 同 ， 设 备 LAN 接 口上 的 队列 调度 技术 分 为 PQ、DRR、PQ+DRR、WRR、PQ+WRR; WAN 接 口上 的 队 
列 调度 技术 分 为 PQ、WFQ、PQ+WFQ 和 CBQ。 下 面具 体 介绍 这 些 调度 方法 。 

1. PQ 调度 

PQ (Priority Queueing， 优 先 队 列 ) 调度 是 针对 于 关键 业务 类 型 应 用 而 设计 的 队列 机 制 。PQ 调度 算法 
维护 一 个 优先 级 递减 的 队列 系列 ， 并 且 只 有 当 更 高 优先 级 的 所 有 队列 为 空 时 才 服 务 低 优先 级 的 队列 。 这 
样 ， 将 关键 业务 的 分 组 放 入 较 高 优先 级 的 队列 ， 将 非 关键 业务 〈 如 E-mail) 的 分 组 放 入 较 低 优先 级 的 队列 ， 
以 保证 关键 业务 的 分 组 被 优先 传送 ， 非 关键 业务 的 分 组 在 处 理 关 键 业务 数 据 的 空闲 间隙 被 传送 。 
如 图 10-11 所 示 ，Queue7 比 Queue6 具 有 更 高 的 优先 权 ，Queue6 比 Queue5 具 有 更 高 的 优先 权 ， 依 此 类 推 。 
只 要 链 路 能 够 传输 分 组 ，Queue7 尽 可 能 快 地 被 服务 。 只 有 当 Queue7 为 空 ， 调 度 器 才 考 虑 Queue6。 当 Queue6 
有 分 组 等 待 传输 且 Queue7 为 空 时 ，Queue6 以 链 路 速率 接受 类 似 的 服务 。 当 Queue7 和 Queue6 为 空 时 ，Queue5 
以 链 路 速率 接收 服务 ， 依 此 类 推 。 
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Queue 7 高 优先 级 
报 文 流 


OOg ’ Cueue6 ! \ 报 文 流 


低 优 先 级 


图 10-11 PQ 调度 示意 图 














PQ 调度 算法 对 低 时 延 业 务 非常 有 用 。 假 定数 据 流 X 在 每 一 个 节点 都 被 映射 到 最 高 优先 级 队列 ， 那 么 当 
数据 流 Xx 的 分 组 到 达 时 ， 则 分 组 将 得 到 优先 服务 。 然 而 PQ 调度 机 制 会 使 低 优先 级 队列 中 的 报 文 由 于 得 不 到 
服务 而 “ 饿 死 ?。 例 如 ， 如 果 映 射 到 Queue7 的 数据 流 在 一 段 时 间 内 以 100% 的 输出 链 路 速率 到 达 ， 调 度 器 将 从 
































不 为 Queue6 及 以 下 的 队列 服务 。 所 以 在 采用 PQ 调度 方式 时 
将 非 关 键 业务 放 入 低 优 先 级 队列 ， 从 而 确保 关键 业务 被 优先 发 送 。 








列 ， 
2. WRR 调 度 

WRR (Weight Round Robin， 加 权 循 环 调度 ) 是 在 RR 
它 可 在 队列 之 间 进 行 轮流 调度 ， 根 和 
冉 度 


| 

















的 。 
于 权 值 为 1〈 即 每 个 队列 在 1 
所 示 。 































































































的 权 值 分 别 为 4、2、5、3、6、4、2 和 1， 按 照 WRR 方 式 进行 


每 个 队列 的 权重 来 调度 各 队列 
次 后 都 重新 开始 新 的 一 轮 调度 ) 的 WRRi 


在 进行 WRR 调 度 时 ， 设 备 根 据 每 个 队列 的 权 值 进行 轮 循 Y 
不 参加 调度 ， 当 所 有 队列 的 权 值 减 到 0 时 ， 开 始 下 一 轮 的 调度 。 


， 应 将 延迟 敏感 的 关键 业务 放 入 高 优先 级 队 











(Round Robin， 循 环 调度 ) 的 基础 上 演变 而 来 
的 报 文 流 。 实 际 上 ，RR 调 度 相 当 
度 。WRR 队 列 示意 图 如 图 10-12 
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周 度 。 调 度 一 轮 权 值 减 一 ， 权 值 减 到 零 的 队列 
例如 ， 用 户 根 据 需 要 为 接口 上 8 个 队列 指定 
周 度 的 结果 请 参见 表 10-6。 





























Queue 7 
>= > 
OO ee 文 流 ， 
J 0) g 
99 OOo |} Si (T0000 oo 
, hn 1 iy 
eo" (Ra) 
Queue 0 
图 10-12 WRR 调 度 示 意 
表 10-6 WRR 调 度 示例 的 调度 结果 











队列 索引 Q5 


Q4 Q3 





队列 权 值 5 


3 6 





参加 第 1 轮 调 度 的 队列 | as 


Q4 Q3 





参加 第 2 轮 调度 的 队列 Q5 


Q4 Q3 





参加 第 3 轮 调度 的 队列 Q5 


Q4 Q3 





参加 第 4 轮 调度 的 队列 


Q5 


Q3 
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参加 第 5 轮 调度 的 队列 


Q3 








参加 第 6 轮 调度 的 队列 


Q3 





参加 第 7 轮 调度 的 队列 Q5 


Q3 





参加 第 8 轮 调度 的 队列 Q5 


Q3 





参加 第 9 轮 调度 的 队列 5 


Q3 





参加 第 10 轮 调度 的 队列 


Q3 





参加 第 11 轮 调度 的 队列 Q5 


Q3 

















参加 第 12 轮 调度 的 队列 


从 表 10-6 可 以 看 出 ， 各 队列 中 的 报 文 流 被 调度 的 次 数 与 该 队列 的 权 值 成 1 
此 每 个 队列 没有 

















相对 越 多 。 由 于 WRR 调 度 是 以 报 文 为 单位 ， 基 








Q3 











E 比 ， 权 值 越 大 被 调度 的 次 数 
司 等 调度 机 会 下 大 尺寸 报 文 获 









































固定 的 带宽 ， 


























得 的 实际 带宽 要 大 于 小 尺寸 报 文 获得 的 带宽 ， 避 免 了 采用 
到 服务 的 缺点 。 另 外 ， WRR 调 度 中 虽然 多 个 队列 的 调度 是 
时 间 片 一 一 如 果 某 个 队列 为 空 ， 习 
得 WRR 调 度 有 两 个 缺点 。 
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PQ 调度 时 低 优先 级 队列 : 


kh 么 马上 换 到 下 一 个 队列 调度 ， 这 样 带 




















的 报 文 可 能 长 时 间 得 不 
轮 循 进行 的 ， 但 对 每 个 队列 不 是 固定 地 分 配 服务 


宽 资源 可 以 得 到 充分 的 利用 。 
























































(1) WRR 调度 按照 报 文 个 数 进行 调度 ， 而 用 户 一 般 关 心 的 是 带宽 。 当 每 个 队列 的 平均 报 文 长 度 相等 
或 已 知 时 ， 通 过 配置 WRR 权重 ， 用 户 能 够 获得 想 要 的 带宽 ; 但是， 当 队 列 的 平均 报 文 长 度 变化 时 ， 用 户 
就 不 能 通过 配置 WRR 权 重 获取 想 要 的 带宽 。 

(2) 低 延 时 需求 业务 (如 话音 〉 得 不 到 及 时 调度 。 

3. DRR 调 度 

DRR (Deficit Round Robin， 差 额 循 环 调度 ) 调度 同样 也 是 RR 循环 调度 ) 法 的 扩展 。 相 对 于 WRR 而 

言 ，DRR 调 度 解决 了 WRR 调 度 中 只 关心 报 文 ， 同 等 调度 机 会 下 大 尺寸 报 文 获得 的 实际 带宽 要 大 于 小 尺寸 报 
文 获得 的 带宽 的 问题 。DRR 调 度 通过 调度 过 程 中 考虑 了 包 长 的 因素 ， 从 而 达到 调度 的 速率 公平 性 。 
在 DRR 调 度 中 ，Deficit 表 示 队 列 的 带宽 赤字 ， 初 始 值 为 0。 每 次 调度 前 ， 系 统 按 权 重 为 各 队列 分 配 带 
宽 ， 计 算 Deficit 值 ， 如 果 队 列 的 Deficit 值 大 于 0， 则 参与 此 轮 调度 ， 发 送 一 个 报 文 ， 并 根据 所 发 送 报 文 的 长 
度 计算 调度 后 Deficit 值 ， 作 为 下 一 轮 调度 的 依据 ;如 果 队 列 的 Deficit 值 小 于 0， 则 不 参与 此 轮 调度 ， 当 前 
Deficit 值 作为 下 一 轮 调度 的 依据 。 

假设 用 户 配置 各 队列 权重 为 40、30、20、10、40、30、20、10〔〈 依 次 对 应 Q7、Q6、Q5、Q4、Q3、 
Q2、Q1、Q0) 。 在 调度 初始 时 ， 队 列 Q7、Q6、Q5、Q4、Q3、Q2、Q1、Q0 依 次 能 够 获取 20%、15%、 
10%、5%、20%、15%、10%、5% 的 带宽 。 下 面 以 Q7、Q6 为 例 ， 简 要 描述 DRR 队 列 调度 的 实现 过 程 ( 假 设 
Q7 队 列 获取 400bit/s 的 带宽 ，Q6 队 列 获取 300bits 的 带宽 ) 。 

第 1 轮 调度 

Deficit[7] [1] = 0 〈 为 Q7 初 始 Deficit 值 ) +400 (为 Q7 队 列 带 宽 ) = 400 (为 Q7 队 列 第 一 轮 调度 时 的 Deficit 
值 ) ，Deficit[6] [1] = 0 〈 为 Q6 初 始 Detficit 值 ) +300 (为 Q6 队 列 带 宽 ) = 300 (为 Q6 队 列 第 1 轮 调度 时 的 
Deficit 值 〉。 

假设 这 时 从 Q7 队 列 取出 一 个 900bytes 的 报 文 发 送 ， 从 Q6 队 列 取出 一 个 400bytes 的 报 文 发 送 。 发 送 后 ， 
Deficit[7] [1] 的 Deficit 值 =400-900 (400 为 Q7 队列 的 带宽 ，900 为 Q7 队 列 此 次 发 送 的 数据 字 节 大 小 ) = 一 
500 (为 Q7 队 列 第 1 轮 调度 后 的 Deficit 值 ) ， Deficit[6] [1] 的 Deficit 值 = 300-400 〈300 为 Q6 队 列 的 带宽 ，400 
为 Q6 队 列 此 次 发 送 的 数据 字 节 大 小 ) = 一 100 (为 Q6 队 列 第 1 轮 调度 后 的 Deficit 值 〉。 

第 2 轮 调度 

Deficit[7] [2] = 一 500 (为 Q7 第 1 轮 调度 后 的 Deficit 值 ) +400〈 为 Q7 队 列 的 带宽 ) = 一 100 (为 Q7 第 2 轮 调 
度 时 可 用 的 Deficit 值 ) ， 同 理 ，Deficit[6] [2] = 一 100+300 = 200。 因 为 Q7 队 列 第 2 轮 调度 Deficit 值 小 于 0， 所 
以 此 轮 不 参与 调度 ， 而 Q6 队 列 第 2 轮 调度 Deficit 值 大 于 0， 所 以 仍 可 以 从 Q6 队 列 取 出 一 个 报 文 (假设 为 
300bytes) 进行 发 送 。 发 送 后 ，Deficit[6] [2] = 200-300 = 一 100 (为 Q6 队 列 第 2 轮 调度 后 的 Deficit 值 ) 。 

第 3 轮 调度 

Deficit[7] [3] = 一 100+400 = 300，Deficit[6] [3] = 一 100+300 = 200。 因 为 两 个 队列 此 时 的 Deficit 值 均 大 
0， 所 以 均 可 以 发 送 数据 。 假 设 此 时 从 Q7 队 列 取出 一 个 600bytes 的 报 文 发 送 ， 从 Q6 队 列 取 出 一 个 400bytes 的 
报 文 发 送 。 发 送 后 ，Deficit[7] [3] = 300-600 = 一 300，Deficit[6] [3] = 200-500 = 一 300。 这 时 再 进行 第 4 轮 调 
度 时 ， 可 根据 前 面 介 绍 的 方法 计算 第 4 轮 调度 时 两 队列 的 Deficit 值 分 别 为 100 和 0， 所 以 Q7 队 列 可 以 继续 发 送 
报 文 ， 而 Q6 队 列 不 允许 发 送 报 文 。 如 此 循环 调度 ， 最 终 Q7、Q6 队 列 获 取 的 带宽 将 分 别 占 总 带宽 的 20%、 
15%。 因 此 ， 通 过 DRR 调 度 方法 时 用 户 能 够 通过 设置 权重 获取 想 要 的 带宽 。 但 DRR 调 度 仍然 没有 解决 WRR 
调度 中 低 延 时 需求 业务 得 不 到 及 时 调度 的 问题 。 

DRR 调 度 避 免 了 采用 PQ 调 度 时 低 优 先 级 队列 中 的 报 文 可 能 长 时 间 得 不 到 服务 的 缺点 ， 也 避免 了 各 队列 
报 文 长 度 不 等 或 变化 较 大 时 ，WRR 调度 不 能 按 配置 比例 分 配 带 宽 资源 的 缺点 。 但 是 ，DRR 调 度 也 具有 低 延 
时 需求 业务 〈 如 话音 ) 得 不 到 及 时 调度 的 缺点 。 

































































































































































































































































































































































































































































































































































































































































4. WFQ 调 度 





FQ (Fair Queuing， 公 习 
优 。 即 不 同 的 队列 者 
度 : 如 果 不 同 队列 站 
各 个 流 的 报 文 

WFQ 调 度 


EF 队 列 》 的 目的 是 尽 可 
得 公平 的 调度 机 会， 
] 同 时 存在 多 个 长 报 文 和 
间 的 拉动 。 
在 报 文 入 队列 之 前 ， 
































用 
了 





分 





对 流量 进行 


(1) 按 流 的 “会 话 "信息 分 类 。 根 据 报 文 的 协议 类 型 、 
尽 可 能 
时 候 ，WEFQ 按 流 的 优 多 























ToS 域 中 的 优先 级 位 等 自动 进行 流 分 类 ， 并 
而 在 总 体 上 均衡 各 个 流 的 延迟 。 在 出 队 的 上 
值 越 小 ， 所 得 的 带宽 越 少 。 优 先 级 的 数值 越 大 ， 所 
(2) 按 优先 级 分 类 。 通 过 优先 级 映射 
个 接口 预 分 配 4 个 或 8 个 队列 
接口 带宽 。 用 户 可 以 通过 配置 修改 权 习 

以 上 整个 WFQ 调 度 原理 
值 〈 依 次 为 w7、w6、w5、 
端口 ， 配 置 它 的 WRR 队 列 
w5、w4、w3、w2、w1、w0) ， 这 样 可 以 保 记 




























































































如 图 10-13 所 示 。 以 端口 









































机 会 多 于 低 优先 权 的 报 文 。 


Queue 1 


和 和 
能 公 习 


从 总 体 上 均衡 各 个 流 的 延迟 ， 短 报 文 和 长 报 文 也 可 获得 


4 是 


EE， 高 优先 权 和 低 优 先 权 按 权 时 


w4、w3、w2、w1、w0) ， 加 权 
周 度 算法 的 加 权 值 为 50、50、30、30、10、10、10、10〔 依 次 对 应 w7、w6、 
E 最 低 优 
低 优先 级 队列 中 的 报 文 可 能 长 时 间 得 不 到 服务 的 缺点 。 从 统计 上 ，WFQ 使 高 优先 权 的 报 文才 





地 分 享 网 络 资源 ， 使 所 有 流 的 延迟 和 抖动 达到 最 


公平 的 调 











I 短 报 文 等 等 发送， 计 短 报 文 优先 获得 调度 ， 从 而 在 总 体 上 减少 





类 ， 


有 两 种 分 类 方式 。 

源 和 目的 TCP 或 UDP 端口 号 、 源 和 目的 耳 地 址 、 
多 地 提供 队列 ， 以 将 每 个 流 均匀 地 放 入 不 同 队 列 中 ， 从 
E 级 来 分 配 每 个 流 应 占有 带宽 。 优 先 级 的 数 
的 带宽 越 多 。 
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严 流 量 标记 为 本 地 优先 级 ， 每 个 本 地 优先 级 对 应 一 个 队列 号 。 每 
， 报 文 根 据 队列 号 进入 队列 。 缺 省 














情况 ， 队 列 的 WFQ 权重 相同 ， 流 
比例 分 配 带宽 。 

队列 为 例 ，WRR 可 为 每 个 队列 配置 
值 表 示 获 取 资 源 的 比如 


平均 分 配 
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EN 





[a 
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有 8 个 输 








个 加 权 
EE。 例 如 : 一 个 100MB 的 






































E 级 队列 至 少 获得 5Mbit/s 带 宽 ， 避 免 了 采用 PQ 调度 时 
得 优先 调度 的 
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图 10-13 WFQ 调 度 示意 图 


5. PQ+WRR 调 度 


PQ 调度 和 WRR 调 度 各 有 优 缺 点 ， 为 了 克服 单纯 采用 PQ 调度 或 WRR1Y 
芭 可 以 通过 WRR 调 度 可 以 让 低 优 先 级 队列 ! 
到 





挥 两 种 调度 的 各 自 优 势 ， 不 

过 PQ 调度 可 以 保证 了 低 延 时 需求 的 业务 能 优先 得 
在 设备 上 ， 用 户 可 以 配置 队列 的 WRR 参 数 ， 根 所 
Queue7、Queue6、Queue5) 采用 PQ 调度 ， 男 一 组 ( 
列 ) 采用 WRR 调 度 。 设 备 上 只 有 LAN 侧 接 
PQ+WRR 调度 示意 图 如 图 


































































































调度 








周 度 时 的 缺 点 ，PQ+WRR 调 度 以 发 
的 报 文 也 能 及 时 获 宽 ， 而 且 通 





HH 


条 


得 当 











可 
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调度 。 
居 配 置 将 接口 上 的 8 个 队列 分 为 两 组 ， 一 组 (例如 
列 如 Queue4、Queue3、Queue2、Queuel1 和 Queue0 队 

















支持 PQ+WRR 调度。 
10-14 所 示 。 在 调度 时 ， 设 备 首先 
Queue5 队 列 中 的 报 文 流 ， 只 有 这 些 队 列 中 的 报 文 流 全 部 调度 完毕 后 ， 才 开始 以 WRR 方 式 循 环 调度 ] 





安 照 PQ 方式 调度 Queue7、Queue6、 
其 他 队列 














中 的 报 文 流 。Queue4、Queue3、Queue2、Queue1 和 Queue0 队 列 包含 自己 的 权 值 。 重 要 的 协议 报 文 和 有 低 延 
时 需求 的 业务 报 文 应 放 入 采用 PQ 调度 的 队列 中 ， 得 到 优先 调度 的 机 会 ， 其 余 报 文 放 入 以 WRR 方 式 调 度 的 各 
队列 中 。 





















































图 10-14 PQ+WRR 混 合 调度 示意 


6. PQ+DRR 调 度 

与 PQ+WRR 相 似 ， 其 集合 了 PQ 调度 和 DRR 调 度 ， 各 有 优 缺 点 。 单 纯 采 用 PQ 调度 时 ， 低 优先 级 队列 中 的 
报 文 流 长 期 得 不 到 带宽 ， 而 单纯 采用 DRR 调度 时 低 延 时 需求 业务 (如 话音 ) 得 不 到 优先 调度 ， 如 果 将 两 种 
调度 方式 结合 起 来 形成 PQ+DRR 调 度 ， 不 仅 能 发 挥 两 种 调度 的 优势 ， 而 且 能 克服 两 种 调度 各 自 的 缺点 。 
在 PQ+DRR 调 度 中 ， 设 备 接口 上 的 8 个 队列 被 分 为 两 组 ， 用 户 可 以 指定 其 中 的 某 几 组 队列 进行 PQ 调 度 ， 
其 他 队列 进行 DRR 调 度 。 如 图 10-15 所 示 ， 在 调度 时 设备 首先 按照 PQ 方 式 优先 调度 Queue7、Queue6 和 
Queue5 队 列 中 的 报 文 流 ， 只 有 这 些 队列 中 的 报 文 流 全 部 调度 完毕 后 ， 才 开始 以 DRR 方式 调度 Queue4、 
Queue3、Queue2、Queuel 和 Queue0 队列 中 的 报 文 流 。 其 中 ，Queue4、Queue3、Queue2、Queuel 和 Queue0 
队列 包含 自己 的 权 值 。 重 要 的 协议 报 文 以 及 有 低 延 时 需求 的 业务 报 文 应 放 入 需要 进行 PQ 调度 的 队列 中 ， 得 
到 优先 调度 的 机 会 ， 其 他 报 文 放 入 以 DRR 方 式 调度 的 各 队列 中 。 
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图 10-15 PQ+WRR 调 度 示 意图 





7. PQ+WFQ 调 度 

与 PQ+WRR 相 似 ，PQ+WFQ 调 度 方式 集合 了 PQ 调度 和 WFQ 调 度 ， 各 有 优 缺 点 。 单 纯 采 用 PQ 调度 时 ， 
低 优先 级 队列 中 的 报 文 流 长 期 得 不 到 带宽 ， 而 单纯 采用 WFQ 调 度 时 低 延 时 需求 业务 (如 话音 〉 得 不 到 优先 
调度 ， 如 果 将 两 种 调度 方式 结合 起 来 形成 PQ+WFQ 调 度 ， 不 仅 能 发 挥 两 种 调度 的 优势 ， 而 且 能 克服 两 种 调 
度 各 自 的 缺点 。 
在 PQ+WFQ 调度 中 ， 设 备 接 口上 的 8 个 队列 也 被 分 为 两 组 ， 用 户 可 以 指定 其 中 的 某 几 组 队列 进行 PQ 
调度 ， 其 他 队列 进行 WFQ 调 度 。 只 有 WAN 侧 接口 支持 PQ+WFQ 调 度 。 如 图 10-16 所 示 ， 在 调度 时 ， 设 备 首 
先 按 照 PQ 方 式 优先 调度 Queue7、Queue6 和 Queue5 队 列 中 的 报 文 流 ， 只 有 这 些 队 列 中 的 报 文 流 全 部 调度 完毕 
后 ， 才 开始 以 WFQ 方 式 调度 Queue4、Queue3、Queue2、Queue1 和 Queue0 队 列 中 的 报 文 流 。 其 中 ， 
Queue4、Queue3、Queue2、Queuel 和 Queue0 队 列 包 含 自己 的 权 值 。 重 要 的 协议 报 文 以 及 有 低 延 时 需求 的 业 
务 报 文 应 放 入 需要 进行 PQ 调度 的 队列 中 ， 得 到 优先 调度 的 机 会 ， 其 他 报 文 放 入 以 WFQ 方 式 调度 的 各 队列 
中 。 
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图 10-16 PQ+WFQ 调 度 示意 图 





8. CBQ 调 度 

CBQ (Class-based Queueing， 基 于 类 的 加 权 公 平 队列 ) 是 对 WEFQ 功 能 的 扩展 ， 为 用 户 提供 了 定义 类 的 
支持 。CBQ 首 先 根据 耳 优 先 级 或 者 DSCP 优 先 级 、 输 入 接口 、 了 P 报 文 的 五 元 组 等 规则 对 报 文 进行 分 类 ， 然 后 
让 不 同类 别 的 报 文 进 入 不 同 的 队列 。 对 于 不 匹配 任何 类 别 的 报 文 ， 送 入 系统 定义 的 缺 省 类 。 如 图 10-17 所 
示 ，CBQ 提 供 以 下 三 类 队列 。 





























图 





10-17 CBQ 调 度 示 意图 


(1) EF 〈 加 速 转发 ) 队列 : 满足 低 时 延 业务 
EF 队列 是 具有 高 优先 级 的 队列 ， 一 个 或 多 个 类 的 报 文 可 以 被 设 定 进入 EF 队列 ， 不 同类 别 的 报 文 可 设 定 

































































口 发 生 拥塞 时 ，EF 队 列 的 报 文 会 优先 发 送 ， 但 为 了 防 
列 以 设置 的 带宽 限 速 。 当 接口 不 拥塞 时 ，EF 队 列 可 以 占 
占用 超出 规定 的 带宽 ， 保 护 了 3 








既 可 以 获得 空 闪 的 带宽 ， 又 不 会 











设备 除了 提供 普通 的 EF 队列 ， 还 支持 一 种 特殊 的 EF 队列 一 一 LLQ ( 
是 LLQ 队 列 使 用 流量 监管 实现 ， 








对 优先 调度 ， 但 








占用 不 同 的 带宽 。 在 调度 出 队 的 时 候 ， 若 EF 队列 ! 


















































有 报 文 ， 会 优先 得 到 调度 ， 以 保证 其 获得 低 时 延 。 当 接 
止 低 优先 级 队列 CAF、BE 队 列 ) 
AF、BE 的 空 闪 带宽。 这样 ， 属 于 EF 队列 的 报 文 
其 他 报 文 的 应 得 带宽 。 








”| 
得 不 


到 调度 ，EF 队 














氏 时 延 队 列 )》 。 两 种 队列 都 采用 绝 
































不 论 接口 是 否 拥 














， 流 量 都 不 会 超过 设置 的 带宽 ，LLQ 队 




















列 不 缓存 报 文 ， 可 以 将 报 文 被 发 送 的 时 延 降低 为 最 低 限 度 。 这 为 对 时 延 敏感 的 应 用 《〈 如 VoIP 业务 ) 提供 了 








良好 的 服务 质量 保证 。 











(2) AF 确保 转发 ) 队列 : 满足 需要 带宽 保证 的 关键 数据 业务 














每 个 AF 队列 分 别 对 应 一 类 报 文 ，| 
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j 户 可 以 设 定 每 类 报 文 占 用 的 带宽 。 
j 户 为 各 类 报 文 设 定 的 带宽 将 报 文 出 队 发 送 ， 可 以 实现 各 个 类 的 队列 的 公平 调度 。 当 接口 有 剩余 带宽 时 ， 











在 系统 调度 报 文 出 队 的 时 候 ， 按 














AF 队列 按照 权重 分 享 剩余 带宽 。 同 时 ， 在 接口 拥塞 的 时 候 ， 仍 然 能 保证 各 类 报 文 得 到 用 户 设 定 的 最 小 带 








[> 
Ji o 


对 于 AF 队列 ， 当 队列 的 长 度 达 到 队列 的 最 大 长 度 时 ， 缺 省 采 / 


WRED 丢 弃 策略 。 





























] 尾 丢弃 的 策略 ， 但 用 户 还 可 以 选择 用 




















Si 





(3) BE 队列 (尽力 而 为 ): 满足 不 需要 严格 QoS 保 证 的 尽力 发 送 业 务 


当 报 文 不 匹配 用 户 设 定 的 所 有 类 别 时 ， 
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报 文 被 送 入 系统 定义 的 缺 省 站 





。 昌 然 允 许 为 缺 省 类 配置 AF 队 







































































列 ， 并 配置 带宽 ， 但 是 更 多 的 情况 是 为 缺 和 4 











类 配置 BE 队列 。BE 队 列 使 ) 























文 进行 基于 流 的 队列 调度 。 





对 于 BE 队列 ， 当 队列 的 长 度 达到 队列 的 最 大 长 度 时 ， 缺 省 采 / 





WRED 丢 弃 策略 。 











WFQ 调 度 ， 使 所 有 进入 缺 省 类 的 报 






































j 尾 丢弃 的 策略 ， 但 ) 











j 户 还 可 以 选择 用 





10.5 流 策略 
流 策略 是 指 按照 某 种 } 

















策略 应 | 


j 后 可 实现 流 : 


贰 则 对 流量 进行 分 类 ， 

















| 大 4 
Ti 





流 策略 包含 3 个 要 素 : 流 分 类 、 








、 重 新 标记 优先 级 、 








任务 就 是 应 用 流 策略 ) 。 下 


1. 流 分 类 











流 分 类 采用 一 定 的 规则 


有 区 别 地 进行 





看 分 别 了 予以 介绍 。 




















用 户 可 以 ; 
(1) and: 








通过 定义 








系 丈 




















报 文 只 有 匹配 了 类: 


























流行 为 和 流 策 


重 定向 等 功能 。 


























略 ， 这 也 是 配置 QoS 流 策略 的 前 三 


并 对 同 种 类 型 的 流量 关联 某 种 行为 ， 形 成 某 种 策略 。 将 该 





基本 任务 (最 后 一 个 























识别 符合 某 类 特征 的 报 文 ， 从 而 把 具有 某 类 共同 特征 的 报 文 划分 为 一 类 ， 它 是 
服务 的 前 提 和 基础 。 








j 的 规则 来 对 报 文 进行 分 类 ， 同 时 也 可 以 指定 规则 之 间 的 关系 。 
的 所 有 的 规则 ， 设 备 才 认 为 报 文 属 于 此 类 。 当 流 分 类 : 

















有 ACL 规 则 








时 ， 报 文 必须 匹配 其 中 一 条 ACL 规 则 以 及 所 有 非 ACL 规 则 才 属 于 该 类 。 当 流 分 类 中 没有 ACL 规 则 时 ， 则 报 


文 必须 匹配 所 有 非 ACL 规 由 


(2) or: 


可 以 使 用 的 流 分 类 规 贝 
































1 才 属 于 该 类 。 
报 文 只 要 [匹配 了 类 中 的 一 个 规则 ， 设 备 就 认为 报 文 属于 此 类 。 
1 如 表 10-7 所 示 。 





表 10-7 流 分 类 的 分 类 规则 


二 层 分 类 规则 


三 层 分 类 规则 








其 他 分 类 规则 





。 目的 MAC 地 址 
。 源 MAC 
。 VLAN 报 文 外 层 Tag 的 ID 信息 

。 VLAN 报 文 外 层 Tag 的 802.1p 优先 级 
se VLAN 报 文 内 层 Tag 的 ID 信息 

。 VLAN 报 文 内 层 Tag 的 802.1p 优先 级 
层 封装 的 协议 字段 


基于 二 


地 址 


e JP 报 文 的 DSCP 优先 级 

。 IP 报 文 的 IP 优先 级 

。 IP 协议 类 型 (IPv4 协议 或 
IPv6 协议 ) 

。 RTP 端口 号 

。 TCP 报 文 的 TCP-Flag 

e ACL 2 000 一 3 999 (基本 


2. 流行 为 


。 FR 报 文中 的 DE 标志 位 
。 FR 报 文中 的 DLCI 信息 
。 ATM 报 文中 的 PVC 信息 


e ACL 4000 一 4999 (二 层 ACL) 


ACL) 
。 ACL6 2 000 一 3 999 (高 级 
ACL) 





。 入 接口 

。 出 接口 

。 ACL 5 000 一 5 999 (用 户 
自 定义 ACL) 

® SAC (Smart Application 
Control， 灵 活 应 用 控制 》 























流行 为 用 来 定义 针对 某 类 报 文 所 做 的 QoS 行为 。 进 行 流 分 类 是 为 了 有 区 别 地 提供 服 务 ， 它 必须 与 某 种 


流量 控制 或 资源 分 配 的 流行 为 关联 起 来 才 有 意义 。 
针对 流 分 类 可 实施 的 流行 为 包括 报 文 过 滤 、 重 标记 、 
度 、 流 量 统计 、 绑 定子 流 策略 、 禁 止 URPF 检 查 、 封 装 外 层 VLAN 标 签 和 禁止 MAC 地 址 学 习 。 





(1) 报 文 过 滤 。 报 文 过 滤 是 最 





实现 动态 的 防火 墙报 文 过 滤 功 能 。 





(2) 重 标记 。 


重 标记 是 指 将 报 文 的 优先 级 字段 进行 重新 设置 。 在 不 同 的 网 络 中 报 文 使 用 











字段 ， 例 如 VLAN 











网 络 使 用 802.1p，IP 网 络 使 
络 对 报 文 的 优先 级 进行 重 
通常 是 需要 在 网 络 的 边界 节点 设备 上 对 进入 的 报 文 进行 优先 级 台 





示 记 。 





简单 的 流 


























mh 





空 行为 。 通 过 对 报 文 的 允许 或 禁止 行为 处 理 ， 





























定向 、 流 量 监管 、 流 量 整形 、 流 镜像 、 队 列 调 




















具体 介绍 如 





























控制 网 络 流量 ， 




















司 的 优先 级 








jToS，MPLS 网 络 使 用 EXP。 因 此 需要 设备 可 以 针对 不 同 的 网 





标记 ， 网 络 内 部 的 节点 设备 按照 边界 


节点 所 标记 的 优先 级 提供 相应 等 级 的 QoS 服 务 ， 或 者 按 自己 的 标准 重新 进行 标记 。 


(3) 


lm 

















指定 接口 


、 指 定 的 下 一 跳 











重 定向 。 重 定向 是 指 将 报 文 不 按 原始 的 目的 地 址 进行 路 由 转发 ， 而 是 将 报 文 重 定向 转发 到 CPU、 
地址 或 下 一 跳 标签 LSP。 





通过 重 定向 可 以 实现 策略 路 
下 一 跳 不 可 用 时 ， 系 统 将 按 原来 的 转发 路 径 转 发 报 文 。 





























|， 这 也 是 QoS 策略 的 一 种 主要 应 用 。 这 种 策 

















(4) 流量 监管 。 














流量 监管 是 一 种 通过 对 流量 规格 的 监督 ， 来 限制 流量 及 












































各 路 由 是 静态 的 ， 当 配置 中 的 

















其 资源 使 用 的 流 控 行 为 。 为 了 


避免 用 户 不 断 突 发 的 业务 数据 造成 网 络 拥挤 ， 可 以 通过 流量 监管 ， 控 制 茶 些 匹配 分 类 规则 的 流 的 规格 ， 对 
可 以 采取 丢弃 、 重 标记 颜色 、 重 标记 优先 级 或 其 他 的 QoS 措施 ， 以 更 好 地 利用 网 络 资 





于 超过 规格 的 流量 ， 
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(5) 流量 整形 


是 一 种 主动 调整 流 的 输出 速率 的 流 控 措施 ， 通 









































要 的 报 文 丢弃 和 拥塞 。 








流量 整形 也 是 一 种 通过 对 


流量 整形 通过 限制 ; 

















流量 规格 的 监督 ， 来 限制 流量 及 其 资源 使 用 的 流 控 行 为 。 它 


























Dt 








中 











这 出 





向 外 发 送 。 
(6) 流 镜像 。 











即将 指定 的 数据 包 复 币 


























排除 。 有 关 端 口 镜 像 配 置 可 参见 本 书 第 14 章 。 








《7) 队列 调度 。 

































































(8) 流量 统计 














三 














常 是 为 了 使 流量 适 配 下 游 设 备 可 供给 的 网 络 资源 ， 避 免 不 必 
某 一 网 络 的 某 一 连接 的 流量 ， 使 这 类 报 文 以 比较 均匀 的 速度 








到 用 户 指 定 的 目的 观察 端口 ， 以 进行 网 络 流量 监控 和 故障 分 析 与 





通常 用 来 对 茶 类 的 流量 进行 拥塞 管理 和 拥塞 避免 ， 使 不 同类 型 的 业务 流 进入 不 同 优先 
级 的 队列 ， 以 获取 不 同等 级 的 QoS 转发 服务 。 

















。 流 量 统计 用 于 统计 指定 业务 流 的 数据 报 文 。 它 统计 的 是 匹配 流 分 类 的 报 文 中 通过 和 和 











弃 的 报 文 数量 和 字 节 数 。 但 流量 统计 本 身 不 是 QoS 控 制 措施 ， 但 可 以 和 ] 








和 报 文 的 安全 性 。 























量 进行 再 次 分 类 ， 执 行 子 策略 1 















































(9) 绑 定 子 流 策略 。 绑 定子 流 策略 是 指 为 流 策略 中 的 流行 为 绑 定 一 个 子 流 策略 ， 实 现 流 策略 能 套 。 使 
用 流 策略 圣 套 时 ， 对 于 匹配 流 分 类 的 某 一 类 报 文 ， 除 了 执行 父 策略 中 定义 的 行为 外 ， 还 由 子 策略 对 该 类 流 


定义 的 行为 ， 实 现 了 更 为 精细 化 的 HQoS《〈 高 级 QoS) 服务 。 








其 他 QoS 行为 组 合 使 用 ， 以 提高 网 络 























(10) 禁止 URPF 检 查 。 禁 止 URPF (Unicast Reverse Path Forward， 单 播 反 向 路 径 转 发 ) 检查 是 指 设备 





URPF 检 查 功 能 。 














对 符合 流 分 类 规则 的 报 文 不 进 


都 进行 URPF 检查 ， 











行 逆向 地 址 检查 。 
丢弃 源 地 址 对 应 的 接 



























































配置 接口 的 URPF 检 查 功能 后 ， 设 备 对 进入 接口 的 所 有 报 文 








与 入 接口 不 一 致 的 报 文 。 此 时 ， 如 果 要 保 i 
被 丢弃 ， 比 如 设备 相信 从 茶 个 服务 器 过 来 的 所 有 报 文 ， 不 对 其 进行 URPF 检查 ， 可 以 


F 茶 类 特定 的 报 文 不 














配置 对 指定 流 禁 止 





(11) 封装 外 层 VLAN 标 签 。 封 装 外 层 VLAN 标 签 是 指 对 符合 流 分 类 规则 的 报 文 创建 外 层 VLAN 标 








签 。 当 下 游 设备 根 
装 外 层 VLAN 标签 ， 





指定 的 外 层 VLAN 标签 提供 差分 服务 时 ， 可 以 在 本 设备 上 为 了 























以 便于 下 游 设备 进行 识别 。 














(12) 禁止 MAC 地 址 学 习 。 禁 止 MAC 地 址 学 习 是 指 设备 不 再 学 习 符 合流 分 类 规则 的 报 文 的 MAC 地 











肯定 流 分 类 的 报 文 配置 封 

















址 。 在 网 络 比较 稳定 ， 报 文 的 MAC 地 址 相对 固定 的 情况 下 ， 为 了 节省 MAC 地 址 表 项 的 开支 ， 提 高 设备 的 





运行 效率 ， 可 以 去 使 能 MAC 学 习 功 能 。 
(13) Netstream 统计 采样 。 对 匹配 流 分 类 的 流量 使 用 NetStream 统计 采 档 



































计 采 样 方式 及 采样 间隔 ， 只 对 匹 本 
映 该 流 的 流量 状况 ， 同 时 也 可 以 降低 使 能 NetStream 功 能 对 设备 性 能 的 影响 。 

















3， 流 策略 





流 策略 是 将 流 分 类 和 流行 为 绑 定 后 形成 的 完整 的 策略 。 通 过 将 流 策略 应 ) 

















的 方法 ， 通 过 设 定 适 当 的 统 





























E 流 分 类 的 IPv4 报 文 进行 流 信息 统计 分 析 ， 收 集 到 的 统计 信息 可 以 基本 反 























j 到 接口 、 





VLAN， 实 现 了 针对 不 同业 务 的 差分 服务 。 


全 局 、 单 板 或 者 


























第 11 童 ”QoS 配置 与 管理 






































11.1 QoS 优先 级 映射 配置 与 管理 
11.2 流量 监管 和 流量 整形 配置 
11.3 拥塞 避免 和 拥塞 管理 的 配置 与 管理 
11.4 复杂 流 策略 配置 与 管理 
在 QoS 的 各 项 功能 配置 中 ， 最 基本 的 是 报 文 优先 级 (包括 二 层 的 802.1p 优 先 级 ， 三 层 的 DSCP 优 先 级 和 
JP 优先 级 ) 与 内 部 优先 级 〈 即 端口 优先 级 ) ， 以 及 PHB 〈 逐 跳 行 为 ) /颜色 之 间 的 映射 配置 (这 是 本 章 的 
点 与 难点 ) ， 因 为 在 流量 监管 、 流 量 整形 、 拥 塞 避免 、 拥 塞 管理 和 QoS 流 策略 中 大 多 数 情 况 下 要 使 用 到 报 文 
优先 级 的 映射 。 而 在 QoS 流 策略 的 配置 中 ， 整 个 配置 思路 非常 清晰 ， 就 是 包括 定义 流 分 类 、 定 义 流行 为 、 创 
建 流 策略 、 应 用 流 策略 四 大 配置 任务 。 
本 章 将 详细 介绍 以 上 各 项 QoS 功 能 和 QoS 流 策略 配置 方法 ， 并 给 出 大 量 实用 的 配置 示例 。 
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EL 
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11.1 QoS 优先 级 映射 配置 与 管理 









































优先 级 映射 是 整个 QoS 应 用 配置 中 的 基础 配置 ， 许 多 QoS 应 用 配置 中 都 要 依据 报 文中 映射 后 的 优先 级 
类 型 和 值 对 报 文 进行 处 理 ， 如 本 章 后 面 将 要 介绍 的 流量 监管 、 流 量 整形 、 拥 塞 避 免 和 拥塞 管理 、QoS 流 分 类 
等 。 在 整个 华为 系列 交换 机 中 ， 不 同系 列 交 换 机 所 支持 的 优先 级 映射 特性 及 配置 方法 不 完全 一 样 ， 下 面 将 


分 别 介绍 。 







































































































































































11.1.1 S2700SI2700EI2710SI 优 先 级 映射 配置 与 管理 


























S2700SI2700EI2710SI 系 列 交换 机 仅 支 持 根据 VLAN 报 文中 的 802.1tp 优 先 级 进行 优先 级 映射 。 对 于 带 
VLAN 标签 的 报 文 ， 入 方向 根据 报 文 携带 的 802.1p 优先 级 按照 缺 省 的 映射 关系 将 802.1p 优 先 级 映射 为 内 部 
优先 级 ， 参 见 表 10-6; 对 于 不 带 VLAN 标 签 的 报 文 ， 设 备 将 使 用 端口 的 缺 省 802.1p 优 先 级 (可 配置 ) ， 将 端 
口 缺 省 的 802.1p 优 先 级 映射 到 内 部 优先 级 。 

1. 基本 配置 任务 
在 整个 优先 级 映射 配置 中 包括 以 下 3 项 配置 任务 。 

(1) 配置 端口 信任 的 报 文 优先 级 ， 即 优先 级 信任 模式 的 配置 。 

(2) (可 选 ) 配置 端口 优先 级 〈 仅 用 于 不 带 VLAN 标 签 的 报 文 优先 级 映射 ) 。 

(3) (可 选 ) 配置 内 部 优先 级 和 队列 之 间 的 映射 关系 〈 仅 当 需 要 改变 缺 省 的 映射 关系 时 配置 ) 。 

2. 有 具体 配置 步骤 

以 上 3 项 配置 任务 的 具体 配置 步 又 如 表 11-1 所 示 。 对 于 那些 在 接口 视图 下 进行 的 配置 ， 如 果 需 要 在 多 个 
端口 下 配置 相同 的 配置 ， 则 可 选择 在 对 应 端口 组 视图 下 进行 配置 ， 以 减少 配置 工作 量 。 






















































































































































































































































































































































































表 11-1 S2700SI2700EI2710SI 系 列 优先 级 映射 配置 步骤 








配置 端口 信 


任 的 报 文 优 





(可 选 ) 配置 
端口 优先 级 


(可 选 ) 配置 
内 部 优先 级 
和 队列 之 间 
的 映射 关系 


system-view 
例如 : <HUAWEI> 
System-view 


进入 系统 视图 





interface interface-type 
interface-number 

例如 : [HUAWEI] 
interface ethernet 0/0/1 


键入 要 配置 端口 信任 的 报 文 优先 级 的 接口 ， 进 
入 接口 视图 





trust 8021p 

例如 : [HUAWEI- 
Ethernet0/0/1] trust 
8021p 


配置 端口 信任 的 报 文 优先 级 为 802.1p 优先 级 ， 
使 得 端口 根据 802.1p 优先 级 对 应 的 映射 关系 进 
行 映射 处 理 








trust 8021p 

例如 : [HUAWEI- 
Ethernet0/0/1] trust 
8021p 


port priority 
priority-value 
例如 : [HUAWEI- 
Ethernet0/0/1] port 
priority 1 


quit 
例如 : [HUAWEI- 
Ethernet0/0/1] quit 


qos local-precedence- 
queue-map 
local-precedence 
queue-index 

例如 : [HUAWEI] qos 
local-precedence- 
queue-map af3 2 





缺 省 情况 下 ,不 信任 任何 报 文 优先 级 ,可 用 undo 
trust 命令 取消 端口 的 信任 优先 级 配置 

当 S2700EI 子 系列 交换 机 不 配置 信任 任何 报 文 
优先 级 时 ,， 报 文 都 进入 队列 0， 且 报 文 的 802.1p 
值 被 设置 为 0; 当 S2700SI 子 系列 交换 机 不 信任 
任何 报 文 优先 级 时 , 报 文 都 进入 队列 0, 但 报 文 
的 802.1p 值 不 发 生变 化 





配置 端口 的 缺 省 802.1p 优先 级 , 取 值 范围 为 0 一 
7 的 整数 ， 值 越 大 优先 级 越 高 。 如 果 当 前 接口 
已 加 入 Eth-Trunk， 则 本 命令 不 可 用 

端口 优先 级 仅 在 收 到 不 带 VLAN 标签 的 报 文 时 
有 用 ， 此 时 会 在 设备 内 部 转发 时 需要 为 这 些 不 
带 VLAN 标签 的 报 文 添加 端口 的 缺 省 802.1p 优 
先 级 ;如 果 此 时 端口 已 通过 上 一 步 配置 了 信任 
802.1p 优先 级 ， 会 使 用 端口 的 缺 省 802.1p 优先 
级 查找 802.1p 优先 级 到 内 部 优先 级 映射 表 ， 为 
这 些 不 带 VLAN 标签 的 报 文 标记 内 部 优先 级 
缺 省 情况 下 ， 接 口 为 不 带 VLAN 标签 的 报 文 添 
加 的 缺 省 802.1p 优先 级 值 为 0， 可 使 用 undo 
port priority 命令 设置 接口 为 不 带 VLAN 标签 
的 报 文 添加 的 缺 省 802.1p 优先 级 值 0 


退出 接口 视图 ， 返 回 系统 视图 


配置 内 部 优先 级 和 入 队列 之 间 的 映射 关系 〈 如 
采用 表 10-7 右 部 分 的 缺 省 映射 关系 ， 则 不 进行 
本 项 配置 )。 命 令 中 的 参数 说 明 如 下 。 

(1) local-precedence: 指定 映射 关系 中 的 本 地 
优先 级 名 称 ， 可 以 是 afl、af2、af3、af4、be、 
cs6、cs7 或 者 ef。 有 关 这 些 本 地 优先 级 名 称 所 
对 应 的 具体 含义 参见 第 10 章 10.1.3 节 

(2) gueue-index: 表示 队列 的 索引 ，S2700SI 
/2700E1/2710SI 系列 交换 机 仅 支 持 4 个 队列 , 索 
引号 为 0~3 的 整数 

可 使 用 undo qos local-precedence-queue-map 
命令 恢复 本 地 优先 级 和 队列 之 间 的 映射 关系 为 
表 10-7 右边 部 分 的 缺 省 映射 关系 

【说 明 】 内 部 优先 级 和 入 队列 之 间 的 映射 关系 仅 
在 接口 入 方向 上 起 作用 ， 即 映射 关系 影响 报 文 
流入 队列 操作 。 通 过 配置 内 部 优先 级 和 队列 之 
间 的 映射 关系 ， 设 备 依据 内 部 优先 级 和 队列 之 
间 的 映射 关系 将 报 文 送 入 指定 队列 





(可 选 ) 管理 
优先 级 映射 


【示例 】 在 S2700 设 备 上 配置 了 本 地 优先 级 和 队列 之 间 的 映射 关系 后 ， 查 看 相关 配置 人 


<HUAWEI> System-View 








display qos 
local-precedence- 
queue-map 

例如 : [HUAWED 
display qos local- 
precedence-queue-map 


[HUAWEI] qos local-precedence-queue-map af3 2 


[HUAWEI] display qos local-precedence-queue-map 





查看 内 部 优先 级 到 入 队列 的 映射 关系 。 在 上 一 
步 配置 了 本 地 优先 级 和 入 队列 之 间 的 映射 关系 
后 ， 可 通过 本 命令 查看 配置 信息 























( 续 表 ) 


Current configurations of mapping between local-precedence and queue: 


local-precedence value: be queue index: 0 


local-precedence value: af1 queue index: 0 


local-precedence value: af2 queue index: 


local-precedence value: af3 queue index: 


local-precedence value: af4 queue index: 


local-precedence value: cs6 queue index: 


1 
2 
2 
local-precedence value: ef ”queue index: 2 
3 
3 


local-precedence value: cs7 gueue index: 





11.1.2 其 他 S2700/3700、S5700SI/5700E15700LI1/5700S-LI 系列 优先 级 映射 配置 与 管理 
























































在 S2700-52P-EI1/2700-52P-PWR-EI/3700SI/3700EI ， 以 及 $S5700SUV5700EI5700LI5700S-LI 系 列 交换 机 中 


所 支持 的 优先 级 信任 模式 相同 ， 即 全 面 支持 802.1p、IP 和 DSCP 三 种 优先 级 ， 支 持 “DSCP 优 先 级 到 802.1p、 


DSCP、 丢 弃 优先 级 的 映射 "和 “IP 优 先 级 到 802.1p、IP 优 先 级 的 映射 ”两 利 














1. 基本 配置 任务 




















优先 级 映射 配置 任务 如 下 。 




















(1) 配置 端口 信任 的 
(2) (可 选 ) 配置 端 



































报 文 优先 级 。 
































口 优先 级 〈 仅 用 于 不 带 VLAN 标 签 的 报 文 优先 级 映射 ) 。 





(3) 配置 DSCP 优 先 级 到 802.1p、 新 DSCP、DP (丢弃 ) 优先 级 之 间 的 映射 。 


(4) 配置 IP 优 先 级 到 802.1p、 新 IP 优 2 























E 级 之 间 的 映射 。 


优先 级 映射 模式 。 


在 S2700-52P-EI/2700-52P-PWR-EI/3700SI3700EI ， 以 及 S5700SI5700EI5700LI5700S-LI 系 列 交换 机 的 





(5) (可 选 ) 配置 内 部 优先 级 和 队列 之 间 的 映射 关系 〈 仅 当 需 要 改变 缺 省 的 映射 关系 时 配置 ) 。 



































2. 具体 配置 步骤 





























以 上 五 项 配置 任务 的 





























k 体 配置 步骤 如 表 11-2 所 示 。 习 
口 下 配置 相同 的 配置 ， 则 可 选择 在 对 应 端口 组 视图 下 进行 配置 ， 以 减少 配置 工作 量 。 





了 些 
































在 接口 视图 下 进行 的 配置 ， 如 果 需 要 在 多 个 端 





表 11-2 S2700-52P-EI/2700-52P-PWR-EI/3700SI/3700EI5700SI5700EI5700LI5700S-LI 系 列 优先 级 映射 配置 























步骤 
配置 任务 步骤 命令 说 明 
System-view 
1 例如 : <HUAWEI> 进入 系统 视图 
system-view 
interface interface-type 
interface-number 键入 要 配置 端口 信任 的 报 文 优先 级 的 接口 ， 进 入 
Be s 例如 : [HUAWEH] 接口 视图 
配 着 | 4 interface ethernet 0/0/1 
人 责 宫 器 口 的 优先 级 信任 模式 " 布 令 中 的 挝 项 党 月 如 下 。 
(1) 8021p: 多 选 一 选项 ， 指 定 端口 信任 802.1p 
ad 优先 级 ,使 端口 根据 802.1p 优先 级 对 应 的 映射 关 
< 系 进行 映射 处 理 
例如 : [HUAWEI- er et 
Ethemet0/0/] trust 8021p | (2 dsep: 多 选 一 选项 ， 指 定 端 口 信任 DSCP 优 
先 级 ， 使 端口 根据 DSCP 优先 级 对 应 的 映射 关系 
进行 映射 处 理 





( 续 表 ) 


(可 选 》 
配置 端口 
优先 级 


配置 DSCP 

优先 级 与 其 

他 优先 级 的 
映射 关系 


配置 DSCP 

优先 级 与 其 

他 优先 级 的 
映射 关系 


(3) ip-precedence: 多 选 一 选项 ， 指 定 端口 信任 
PP 优先 级 ,使 端口 根据 他 优先 级 对 应 的 映射 关系 
进行 映射 处 理 
【说 明 】 当 在 同一 接口 下 可 同时 配置 trust dsep 和 
trust { 8021p | dsep | trust 8021p 命令 ， 此 时 如 果 报 文 为 卫 报 文 ， 则 接口 
ip-precedence } 信任 报 文 的 DSCP 优先 级 ; 如 果 报 文 为 非 耳 报 文 ， 
例如 : [HUAWEI- 划 接口 信任 报 文 欧 802.1p 优先 级 但 同一 接口 下 不 
EthemetOO/1] trust 8021p | 可 同时 配置 trust dsep 和 trustip-precedence 命令 
缺 省 情况 下 , 不 信任 任何 报 文 优先 级 , 可 用 undo 
trust 命令 取消 端口 的 信任 优先 级 配置 , 即 取 消 对 
报 文 按照 某 类 优先 级 进行 的 映射 ， 报 文 都 进入 队 
列 0 且 报 文 的 802.1p 值 被 设 徊 为 0 


Dr kor 配置 端口 的 缺 省 802.1p 优先 级 , 取 值 范围 为 0 一 7 
UA 的 整数 ， 取 值 越 大 优先 级 越 高 。 如 果 当 前 接口 已 
加 入 Eth-Trunk， 本 命令 不 可 用 ,其 他 说 明 参 见 上 


Ethernet0/0/1] port 
priority | 人 节 表 11-1 第 4 步 


quit 
例如 ，[HUAWEL 退出 接口 视图 ， 返 回 系统 视图 
Ethernet0/0/1] quit 


进入 DSCP 映射 表 视 图 , 仅 支持 DSCP 到 802.1p 
优先 级 的 单 向 映射 。 命 令 中 的 选项 说 明 如 下 。 
(1) dsep-dotip: 多 选 一 选项 , 指定 进入 dscp-dotlp 视图 ， 
即 从 DSCP 优先 级 到 802.1p 优先 级 的 映射 视图 ， 配置 
DSCP 到 802.1p 优先 级 映射 时 选 拌 ， 对 撞 覆 和 国民 文 按照 
所 携带 的 DSCP 优先 级 重 标记 报 文 的 8021p 优先 级 
(2) dscp-dp: 多 选 一 选项 ,指定 进入 dscp-dp 视图 ， 
ne 即 从 DSCP 优先 级 到 丢弃 优先 级 的 映射 视图 ， 配 置 
beso ds) dscp | 。 | DSCP 到 丢弃 优先 级 喘 财 时 迁 择 ， 对 接收 的 报 文 按 
例如 [HUAWEI] qos 。 | 照 所 携带 的 DSCP 优先 级 重 标记 报 文 的 丢弃 优先 级 
map-table dscp-dotip (3) dsep-dscp: 多 选 一 选项 ,指定 进入 dscp-dscp 
视图 ， 即 从 DSCP 优先 级 到 DSCP 优先 级 的 映射 
视图 ， 配 置 DSCP 到 DSCP 优先 级 映射 时 选择 ， 
对 接收 的 报 文 按照 所 携带 的 DSCP 优先 级 重 标记 
报 文 的 DSCP 优先 级 
具体 要 进行 何 种 映射 ， 要 视 本 表 第 3 步 所 配置 的 
端口 优先 级 信任 模式 而 定 ， 信 任 哪 种 模式 就 可 以 
把 报 文中 携带 的 优先 级 映射 成 哪 种 的 优先 级 
配置 DSCP 表 中 的 映射 关系 【〔 先 需要 通过 上 一 步 
进入 到 对 应 的 映射 表 视 图 ), 可 以 修改 DSCP 表 中 
input { input-valuel DSCP 到 802.1p、DSCP 到 DP、DSCP 到 DSCP 
Re ee 的 映射 美 系 。 命 令 中 的 参数 说 明 如 下 。 
Se (1) inpur-value1: 指定 建立 优先 级 映射 表 时 输入 
例如 : [HUAWEI 的 起 始 DSCP 优先 级 值 , 取 值 范围 为 0 一 63 的 整数 
dscp-dotlp] input 0 (2) input-value2: 可 选 参数 ， 指 定 建立 优先 级 映 
to 15 output 0 射 表 时 输入 的 结束 DSCP 优先 级 值 ， 取 值 范围 也 
为 0 一 63 的 整数 , 但 要 大 于 input-valuei 值 , 它 和 
input-valuel 共同 确定 一 个 DSCP 优先 级 值 范围 





配置 DSCP 
优先 级 与 其 
他 优先 级 的 
映射 关系 


配置 IP 


input { input-valuel 
[to impur-value2 ] 
及 <1-10> } output 
output-value 

例如 : [HUAWEI- 
dscp-dotlp] input 0 
to 15 output 0 


quit 
例如 : [HUAWEI- 
dscp-dotlp] quit 


qos map-table 

{ ip-pre-dotlp | 
ip-pre-ip-pre } 

例如 : [HUAWEI] qos 
map-table ip-pre-dotlp 


(3) output-value: 指定 输出 的 802.1p 优先 级 、 丢 
弃 优先 级 或 新 的 DSCP 值 。 取 值 范围 取决 于 当前 
映射 表 视 图 。 

> 在 dscp-dotlp 视图 下 的 取 值 范围 为 0 一 7 的 
整数 

> 在 dscp-dp 视图 下 的 取 值 范围 为 0 一 2 的 整数 ; 
丢弃 优先 级 0 对 应 报 文 颜色 green: 丢弃 优先 级 1 
对 应 报 文 颜色 yellow; 丢弃 优先 级 2 对 应 报 文 颜 
色 red 

> 在 dsep-dscp 视图 下 的 取 值 范围 为 0~63 的 整数 
缺 省 情况 下 ，DSCP 到 802.1p 的 映射 关系 如 表 
11-3 所 示 ，DSCP 到 DP 的 映射 关系 如 表 11-4 所 
示 ，DSCP 到 DSCP 的 映射 关系 如 表 11-5 所 示 ， 
可 用 undo input { all | input-valuel [ to 
input-value2 ] &<1-10> } 命 令 恢复 缺 省 情况 


退出 DSCP 映射 表 视图 ， 返 回 系统 视图 


进入 IP 优先 级 映射 表 视 图 。 命令 中 的 选项 说 明 
如 下 。 

(1) ip-pre-dotlp: 二 选 一 选项 ， 指 定 进入 
ip-pre-dotlp 视图 ， 即 从 IP 优先 级 到 802.1p 优先 
级 的 映射 视图 ， 配 置 中 优先 级 到 802.1p 优先 级 
映射 时 选择 , 对 接收 的 报 文 按照 所 携带 的 P 优先 
级 重 标记 报 文 的 8021.p 优先 级 

(2) ip-pre-ip-pre: 二 选 一 选项 ， 指 定 进入 
ip-pre-ip-pre 视图 ， 即 从 IP 优先 级 到 IP 优先 级 的 
映射 视图 ， 在 配置 IP 优先 级 到 新 IP 优先 级 映射 
时 选择 , 对 接收 的 报 文 按照 所 携带 的 人 P 优先 级 重 
标记 报 文 的 IP 优先 级 

具体 要 进行 何 种 映射 ， 要 视 本 表 第 3 步 所 配置 的 
端口 优先 级 信任 模式 而 定 ， 信 任 哪 种 模式 就 可 以 
把 报 文中 携带 的 优先 级 映射 成 哪 种 的 优先 级 





优先 级 与 
其 他 优先 级 
的 映射 关系 


input input-value! 
[to input-value2 ] 
output ouput-value 
例如 : [HUAWEI-ip- 
pre-dotlp] input 0 to 
7 output 0 


配置 IP 优先 级 表 中 的 映射 关系 〈 先 需要 通过 
上 一 步 进入 到 对 应 的 映射 表 视 图 )， 可 以 修改 
IP 优先 级 表 中 IP 优先 级 到 丢弃 优先 级 ，IP 优 
先 级 到 IP 优先 级 的 映射 关系 。 命 令 中 的 参数 
说 明 如 下 。 

(1) input-value1; 指定 建立 优先 级 映射 表 时 输入 
的 起 始 下 优先 级 值 ， 取 值 范围 为 0 一 7 的 整数 
(2) input-value2; 可 选 参数 ， 指 定 建立 优先 
级 映射 表 时 输入 的 结束 IP 优先 级 值 ， 取 值 范 
围 为 0 一 7 的 整数 , 但 要 大 于 input-valuel 值 。 
它 和 input-valuel 共同 确定 一 个 IP 优先 级 值 
范围 

缺 省 情况 下 , IP 优先 级 到 丢弃 优先 级 和 IP 优先 级 
的 映射 关系 都 是 0、1…7 依次 对 应 的 ,可 用 undo 
input { all | input-valuel [ to input-value2 ] } 命 令 
恢复 缺 省 情况 





quit 
例如 : [HUAWEI- 
dscp-dotlp] quit 


退出 IP 映射 表 视图 ， 返 回 系 统 视图 





〈 可 选 ) 配 置 
内 部 优先 级 
和 队列 之 间 
的 映射 关系 


qos local- 
precedence-queue-map 
local-precedence 
gueue-index 

例如 : [HUAWEI] qos 
local-precedence-queue- 
map af3 2 


配置 内 部 优先 级 和 队列 之 间 的 映射 关系 。 其 他 说 
明 参 见 上 节 表 11-1 中 的 第 6 步 





(可 选 ) 
管理 优 


display qos map-table 
[dscp-dotlp | dscp-dp | 
dscp-dscp | 

ip-pre-dotlp | 
ip-pre-ip-pre ] 

例如 : [HUAWEI] display 
qos map-table dscp-dp 


查看 当前 的 各 种 优先 级 间 的 映射 关系 。 命 令 中 的 
选项 可 参见 本 表 中 前 面 qos map-table 命令 中 的 
对 应 选项 说 明 。 如 果 没 有 指定 任何 可 选项 ， 将 显 
示 DSCP 到 Dotlp、DSCP 到 DP、DSCP 到 DSCP、 
IP 优先 级 到 Dotlp、IP 优先 级 到 IP 优先 级 的 全 部 
映射 关系 





先 级 映射 





Input DSCP | 802.1p | Input DSCP | 802.1p 
0 16 2 


0 


display qos local- 
precedence-queue-map 
例如 : [HUAWEI]display 
qos local-precedence- 
queue-map 


查看 内 部 优先 级 到 队列 的 映射 关系 。 在 前 面 配 置 
了 本 地 优先 级 和 队列 之 间 的 映射 关系 后 ， 可 通过 
本 命令 查看 配置 信息 





Input DSCP | 802.1p | Input DSCP | 802.1p 
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( 续 表 ) 












































Input DSCP Input DSCP Input DSCP 

4 0 20 0 36 0 52 0 
5 4 0 37 0 53 

6 0 22 0 38 0 54 0 
7 0 23 0 39 0 55 0 
8 0 24 0 40 0 56 0 
9 0 25 0 41 0 EE 0 
10 0 26 0 42 0 58 0 
11 0 pi 0 43 0 59 0 
12 0 28 0 44 0 60 0 
13 0 29 0 45 0 61 0 
14 0 30 0 46 0 62 0 
堵 0 31 0 47 0 63 0 





























表 11-5 缺 省 情况 下 的 DSCP 到 DSCP 了 映射 关系 表 
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【示例 1】 配 置 DSCP 表 中 的 映射 关系 ， 将 DSCP 的 0 到 7 级 映射 成 802.1p 的 0 级 。 
<HUAWEI> system-view 
[HUAWEI] qos map-table dscp-dot1lp 
[HUAWEI-dscp-dot1lp] input 0 to 7 output 0 

【示例 2】 配 置 卫 优先 级 表 中 的 映射 关系 : IP 优 先 级 的 0 到 3 级 映射 成 Dotq1l 的 0 级 。 
<HUAWEI> system-view 
[HUAWEI] qos map-table ip-pre-dot1lp 
[HUAWEI-ip-pre-dot1p] input 0 to 3 output 0 





11.1.3 优先 级 映射 配置 示例 (一) 














本 示例 适用 于 S2700-52P-EI2700-52P-PWR-EI3700SI3700EI5700SI5700EI5700LI 5700S-LI 系 列 交换 
机 。 本 示例 拓扑 结构 如 图 11-1 所 示 ，SwitchA 和 SwitchB 都 与 路 由 器 互 连 ， 企 业 分 支 机 构 1 和 企业 分 支 机 构 2 
可 经 由 LSW1 和 LSW2 访问 核心 网 络 (Core Network) 。 现 由 于 企业 分 支 机 构 1 需 要 得 到 更 好 的 QoS 保证 ， 
丸 此 可 将 来 自 企业 分 支 机 构 1 的 数据 报 文 DSCP 优 先 级 映射 为 45， 将 来 自 企 业 分 支 机 构 2 的 数据 报 文 DSCP 优 
先 级 映射 为 30。 当 拥塞 发 生 时 ，Router 优 先 处 理 DSCP 优 先 级 高 的 报 文 。 

1. 基本 配置 思路 分 析 

本 示例 总 体 上 的 配置 思路 如 下 。 

(1) 按照 图 示 要 求 在 各 交换 机 上 创建 所 需 的 VLAN， 配 置 各 接口 为 对 应 的 类 型 ， 并 加 入 对 应 的 VLAN 

中 ， 使 企业 都 能 够 访问 网 络 。 


































































































(2) 在 SwitchA 和 SwitchB 上 配置 DSCP 优 先 级 信任 ， 以 及 DSCP 到 DSCP 的 优先 级 映射 关系 ， 将 来 自 企 
业 分 支 机 构 1 的 数据 报 文 优 先 级 映射 为 45， 将 来 自 企 业 分 支 机 构 2 的 数据 报 文 优先 级 映射 为 30， 以 实现 为 
来 自 两 个 分 支 机 构 的 报 文 提供 差分 化 服务 。 
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图 11-1 优先 级 映射 配置 示例 一 拓扑 结构 




















2. 具体 配置 步 又 
下 面 仅 介绍 SwitchA 和 SwitchB 上 的 配置 。 
SwitchA 上 的 配置 : 
(1) 创建 VLAN100。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan 100 
(2) 配置 Eth0/0/1、Eth0/0/2 端 口 类 型 均 为 runk， 并 加 入 VLAN100。 
[SwitchA | interface ethernet 0/0/1 
[SwitchA-Ethermet0/0/1] port link-type trunk 
[SwitchA-Ethemet0/0/1] port trunk allow-pass vlan 100 
[SwitchA-Ethermmet0/0/1] quit 
[SwitchA | interface ethernet 0/0/2 
[SwitchA-Ethermet0/0/2] port link-type trunk 
[SwitchA-Ethermet0/0/2] port trunk allow-pass vlan 100 
[SwitchA-Ethernet0O/0/2] guit 
(3) 配置 Eth0/0/1、Eth0/0/2 端 口 信任 报 文 的 DSCP 优 先 级 。 
[SwitchA | interface ethernet 0/0/1 
[SwitchA-Ethermet0/0/1] trust dscp 
[SwitchA-EthernetO/O/1] quit 
[SwitchA] interface ethernet 0/0/2 
[SwitchA-Ethernet0/0/2] trust dscp 






















































































接 


11. 


[SwitchA-Ethermet0/0/2] quit 
(4) 配置 DSCP 到 DSCP 的 优先 级 映射 ， 把 报 文中 的 DSCP 优 先 级 全 部 重 标记 为 45。 
[SwitchA] qos map-table dscp-dscp 
[SwitchA-dscp-dscp] input 0 to 63 output 45 
SwitchB 上 的 配置 : 
(1) 创建 VLAN200。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] vlan 200 
(2) 配置 Eth0/0/1、Eth0/0/2 端 口 类 型 为 runk， 并 加 入 VLAN200。 
[SwitchB | interface ethernet 0/0/1 
[SwitchB-Ethernet0/0/1] port link-type trunk 
[SwitchB-Ethernet0/0/1] port trunk allow-pass vlan 200 
[SwitchB-Ethernet0/0/1] quit 
[SwitchB] interface ethernet 0/0/2 
[SwitchB-Ethernet0/0/2] port link-type trunk 
[SwitchB-Ethernet0/0/2] port trunk allow-pass vlan 200 
[SwitchB-Ethernet0/0/2] quit 
(3) 配置 Eth0/0/1、Eth0/0/2 端 口 信任 报 文 的 DSCP 优 先 级 。 
[SwitchB | interface ethernet 0/0/1 
[SwitchB-Ethernet0/0/1] trust dscp 
[SwitchB-Ethernet0/0/1] quit 
[SwitchB | interface ethernet 0/0/2 
[SwitchB-Ethernet0/0/2] trust dscp 
[SwitchB-Ethernet0/0/2] quit 








































































































(4) 配置 DSCP 到 DSCP 的 优先 级 映射 ， 把 报 文中 的 DSCP 优 先 级 全 部 重 标记 为 30， 优 先 级 次 于 
VLAN100 中 的 报 文 。 














[SwitchB] qos map-table dscp-dscp 
[SwitchB-dscp-dscp] input 0 to 63 output 30 




















配置 好 后 ， 可 在 两 交换 机 上 使 用 对 应 的 display qos map-table 命令 查看 优先 级 映射 信息 ， 也 可 在 对 应 的 



























































口 视图 下 通过 display this 命令 查看 接口 上 的 优先 级 映射 配置 信息 ， 以 验证 配置 结果 。 











1.4 S5700HI5710F1/6700/7700/9300/9300E/9700 系列 优先 级 映射 配置 与 管理 

















EXP 优 先 级 ) 。 








(1) 在 接口 入 方向 上 的 802.1p 优 先 级 到 PHB 行 为 /颜色 映射 。 
(2) 在 接口 出 方向 上 的 PHB 行 为 /颜色 到 802.1p 优 先 级 映射 。 
(3) 在 接口 入 方向 上 的 DSCP 优 先 级 到 PHB 行 为 /颜色 。 
(4) 在 接口 出 方向 上 的 PHB 行 为 /颜色 到 DSCP 优 先 级 。 


















































在 S5700HI5710EI6700/7700/9300/9300E/9700 系 列 交换 机 中 ， 仅 支持 “信任 报 文 的 802.1p 优 有 


任 报 文 的 DSCP 优 先 级 ”这 两 种 优先 级 信任 模式 。 但 这 些 交 换 机 支持 以 下 多 种 优先 级 映射 模式 《此 处 不 考虑 


6 级 "和 “ 信 





























这 里 有 一 个 难点 就 是 这 些 交 换 机 开始 支持 DiffServ 域 。DiffServ 域 其 实 与 其 他 域 类 似 ， 如 在 本 书 第 8 章 ， 
所 介绍 的 MST 域 ， 都 是 用 来 指定 一 种 配置 的 生效 范围 。DiffServ 域 用 于 定义 报 文 的 优先 级 〈 支 持 802.1p 优 先 
级 和 DSCP 优 先 级 ) 和 PHB 行 为 之 间 的 映射 关系 ， 并 为 报 文 标记 颜色 ， 用 于 进行 拥塞 管理 和 拥塞 避免 。 这 样 
一 来 ， 就 可 以 在 整个 网 络 中 配置 不 同 的 优先 级 和 PHB 行 为 之 间 的 映射 关系 ， 作 用 于 不 同 DiffServ 域 内 的 报 
文 。 可 以 在 交换 机 的 端口 上 绑 定 对 应 Diffserv 域 中 配置 的 优先 级 和 PHB 行 为 映射 关系 。 




























































































































































































1. 基本 配置 任务 
总 体 来 说 ，S5700HI/5710E1/6700/7700/9300/9300E/9700 系 列 交换 机 的 优先 级 映射 配置 任务 包括 以 下 几 
个 方面 。 

















(1) 配置 端口 信任 的 报 文 优先 级 。 
(2) (可 选 ) 配置 端口 优先 级 。 
(3) 创建 DiffServ 域 并 配置 优先 级 映射 关系 。 

当 设 备 作为 DiffServ 域 和 其 他 网 络 的 边界 节点 时 ， 需 要 配置 内 部 优先 级 和 外 部 优先 级 的 相互 映射 关系 。 
当 业 务 流 流入 设备 时 将 报 文 携 带 的 优先 级 信息 映射 到 相应 的 PHB 行 为 /颜色 ， 并 在 设备 内 部 根据 报 文 的 PHB 
行为 进行 拥塞 管理 ， 根 据 报 文 的 颜色 进行 拥塞 避免 ， 当 业务 流 流 出 设备 时 将 报 文 的 PHB 行为 /颜色 映射 为 相 
应 的 优先 级 ， 对 端 设备 根据 报 文 的 优先 级 提供 相应 的 QoS 服务 。 

(4) 应 用 DiffServ 域 。 

当 需 要 根据 DiffServ 域 中 定义 的 映射 关系 ， 对 出 /入 设备 的 报 文 进行 优先 级 到 PHB 行 为 /颜色 之 间 的 映射 
操作 时 ， 可 以 将 DiffServ 域 绑 定 到 报 文 的 出 /入 接口 ， 系 统 会 根据 DiffServ 域 中 的 映射 关系 进行 报 文 优先 级 与 
PHB 行 为 /颜色 之 间 的 映射 。 

2. 具体 配置 步 又 

以 上 4 项 配置 任务 的 具体 配置 步 又 如 表 11-6 所 示 。 对 于 那些 接口 视图 下 的 配置 ， 如 果 需 要 在 多 个 端口 下 
配置 相同 的 配置 ， 则 可 选择 在 对 应 的 端口 组 视图 下 进行 配置 ， 以 减轻 配置 工作 量 。 

















































































































































































































































































































表 11-6 S5700HI5710EI6700/7700/9300/9300E/9700 系 列 优先 级 映射 配置 步骤 


配置 任务 





System-view 
例如 : <HUAWEI> 进入 系统 视图 
配置 端口 system-view 





信任 的 报 interface interface-type 

文 优先 级 interface-number 键入 要 配置 端口 信任 的 报 文 优先 级 的 接口 ， 进 入 接 
例如 :; [HUAWEH] 口 视图 
interface ethernet 0/0/1 








( 续 表 ) 


配置 端口 
信任 的 报 
文 优先 级 


trust { 8021p { inner | 
outer } | dsep } 

例如 : [HUAWEI- 
Ethernet0/0/1] trust 
8021p inner 


es EO 命令 中 的 选项 说 明 
下 : 

(1) 8021p { inner | outer }: 二 选 一 选项 ， 指 定 端口 
信任 802.1p 优先 级 ， 如 果 选 择 了 二 选 一 选项 inner， 
则 指定 对 报 文 按照 内 层 802.1p 优先 级 进行 映射 ， 如 
果 选 择 了 二 选 一 选项 outer， 则 指定 对 报 文 按照 外 层 
802.1p 优先 级 进行 映射 

(2) dsep: 二 选 一 选项 ， 指 定 端 口 信任 DSCP 优先 
级 ， 使 端口 根据 DSCP 优先 级 对 应 的 映射 关系 进行 
扎 射 处 理 

(3) ip-precedence: 多 选 一 选项 ， 指 定 端口 信任 
IP 优先 级 ， 使 端口 对 报 文 按照 DSCP 优先 级 进行 
映射 

本 命令 为 覆盖 式 命令 ， 即 在 同一 接口 视图 下 多 次 执 
行 该 命令 配置 后 ， 按 最 后 一 次 配置 生效 
缺 省 情况 下 ， 根 据 外 层 802.1p 优先 级 对 应 的 映射 关 
系 进 行 映 射 处 理 ， 可 用 undo trust 命令 取消 对 报 文 
按照 某 类 优先 级 进行 的 映射 





(可 选 ) 配 
置 端口 优 
先 级 


创建 
DiffServ 
域 并 配置 
优先 级 
映射 关系 


port priority 
Priority-value 
例如 : [HUAWEI- 
Ethernetl/O/1] port 
priority 1 


quit 
例如 : [HUAWEI- 
Ethernet0/0/1] quit 


diffserv domain 

{ default | ds-domain- 
name } 

例如 : [HUAWEH 
diffsery domain ds1 


配置 端口 的 缺 省 802.1p 优先 级 (但 S6700 系列 不 
支持 配置 端口 优先 级 )， 取 值 范围 为 0 一 7 的 整数 ， 
值 越 大 优先 级 越 高 。 如 果 当 前 接口 已 加 入 
Eth-Trunk， 本 命令 不 可 用 ， 其 他 说 明 参 见 11.1.1 
节 表 11-1 第 4 步 

【注意 】S6700 系列 ，S7700 系列 的 ES1D2X40SFC0 单 
扳 .ES1D2LO2QFC0 单 板 ,S9300 系列 的 LEODX40SFC00 
单 板 、LEID2LO2QFC0 单 板 ，S9300E 系列 的 
LEODX40SFC00 单 扳 、LH2D2LO2QFC0 单 板 ， 以 及 
S9700 系列 的 EH1D2X40SFC0 单 扳 `.EHID2L02QFC0 
单 板 均 不 支持 配置 端口 优先 级 


退出 接口 视图 ， 返 回 系统 视图 


创建 DiffServ 域 并 进入 DiffServ 域 视图 。 命 令 中 的 
参数 和 选项 说 明 如 下 。 

(1) default: 二 选 一 选项 ， 指 定 进入 系统 预先 设 定 
的 缺 省 DiffServ 域 视图 

(2) ds-domain-name: 二 选 一 参数 ， 指 定 新 创建 
的 DiffServ 域名 称 ， 为 1 一 31 个 字符 ， 不 支持 空 
格 , 不 区 分 大 小 写 , 且 不 能 为 “n”、“no”、“non”、 
“none” 

设备 中 缺 省 存在 一 个 名 为 default 的 DiffeServ 域 ， 
除了 这 个 域 设 备 最 多 允许 创建 7 个 DiffServ 域 。 对 
于 预先 设 定 的 default 域 ,用 户 只 能 修改 其 映射 关系 ， 
不 能 删除 ， 但 可 用 undo diffserv domain 
帮 -domain-name 删除 新 建 的 指定 DiffServ 域 





8021p-inbound 
$021p-value phb 
service-class 

[ green | yellow Ired ] 
例如 : [HUAWEI- 
dsdomain-ds1] 
8021p-inbound 2 
phb afl yellow 


8021p-outbound 
service-class 

{ green | yellow | red } 
map 8021p-value 
例如 : [HUAWEI- 
dsdomain-ds1] 
8021p-outbound af 
yellow map 2 


ip-dscp-inbound 
dscp-value phb 
Service-class 

[ green | yellow Ired ] 
例如 : [HUAWEIL- 
dsdomain-ds1] 
ip-dscp-inbound 8 
phb afl yellow 


配置 “802.1p 优先 级 到 PHB 行为 /颜色 ”优先 级 
映射 模式 ,在 接口 入 方向 ,将 VLAN 报 文 的 802.1p 
优先 级 映射 为 PHB 行为 ,并 为 报 文 着 色 。 命令 中 
的 参数 和 选项 说 明 如 下 (颜色 仅 用 在 流量 控制 叶 
识别 是 否 丢 包 ， 对 内 部 优先 级 与 队列 的 上 映射 关系 
没有 影响 )。 

(1)》8021p-value: 指定 要 建立 映射 关系 的 VLAN 
报 文 的 802.1p 优先 级 值 ， 取 值 范围 为 0 一 7 的 整 
数 ， 值 越 大 优先 级 越 高 

(2) service-class : 指定 所 映射 的 PHB 行为 ， 取 值 
可 以 为 BE、AF1 一 AF4、EF、CS6 或 CS7 (优先 
级 依次 增高 ), 并 与 设备 的 端口 队列 0 一 7 依次 对 应 
(3) green: 多 选 一 可 选项 ， 指 定 将 报 文 标记 为 绿色 
(4) yellow:; 多 选 一 可 选项 ， 指 定 将 报 文 标 记 为 黄色 
(5) red: 多 选 一 可 选项 ， 指 定 将 报 文 标记 为 红色 
将 DiffServ 域 绑 定 到 报 文 的 入 接口 后 ， 根 据 报 文 的 
PHB 行为 将 其 送 入 对 应 的 端口 队列 ， 进 行 拥塞 管 
理 , 配置 丢弃 模板 以 后 根据 报 文 的 颜色 进行 拥塞 避免 
读 省 情况 下 ，DiffServ 域 中 接口 入 方向 上 VLAN 
报 文 的 802.1p 优先 级 和 PHB 行为 /颜色 之 间 的 映 
出 关系 如 表 11-7 所 示 , 可 用 undo 8021p-inbound 
[ 8021p-value ] 命令 恢复 缺 省 的 映射 关系 ， 如 不 
指定 可 选 参数 _8021p-value， 将 取消 所 有 802.1p 
值 与 服务 等 级 的 对 应 关系 的 配置 

配置 “PHB 行为 /颜色 到 802.1p 优先 级 ”优先 级 
映射 模式 ， 在 接口 出 方向 ， 将 PHB 行为 /颜色 映 
射 为 VLAN 报 文 的 802.1p 优先 级 .命令 中 的 参数 
和 选项 说 明 参 见 上 一 步 的 8021p-inbound 命令 对 
应 的 参数 和 选项 说 明 

将 DiffServ 域 绑 定 到 报 文 的 入 接口 后 ， 根 据 报 文 
的 PHB 行为 将 其 送 入 对 应 的 端口 队列 , 进行 拥塞 
管理 ， 配 置 丢弃 模板 以 后 根据 报 文 的 颜色 进行 拥 
塞 避 免 

缺 省 情况 下 ，DiffServ 域 中 接口 出 方向 上 VLAN 
报 文 的 PHB 行为 /颜色 和 802.1p 优先 级 之 问 的 喘 
射 关 系 如 表 11-8 所 示 , 可 用 undo 8021p-outbound 
[service-class { green | yellow | red } ] 命令 恢复 

缺 省 的 映射 关系 

配置 “DSCP 优先 级 到 PHB 行为 /颜色 ”优先 级 映 
射 模式 , 在 接口 入 方向 将 钙 报 文 的 DSCP 优先 级 
映射 为 PHB 行为 ， 并 为 报 文 着 色 。 命 令 中 的 参数 
和 选项 说 明 如 下 。 

(1) dscp-value: 指定 要 建立 映射 关系 的 IP 报 文 
的 DSCP 优先 级 值 ， 取 值 范围 为 0 一 63 的 整数 ， 

值 越 大 优先 级 越 高 

(2) service-class: 指定 所 映射 的 PHB 行为 , 到 值 
可 以 为 BE、AFI 一 AF4、EF、CS6 或 CS7 ( 优 
先 级 依次 增高 )， 并 与 设备 的 端口 队列 0~7 依 
次 对 应 


| 宰 宕 闪 竹 疯 弄 席次 


淡 画 他 从 电 他 











ip-dscp-inbound 
dsep-value phb 
Service-class 

[ green | yellow |red ] 
例如 ; [HUAWEI- 
dsdomain-ds1] 
ip-dscp-inbound 8 
phb afl yellow 


ip-dscp-outbound 
service-class 
‘green | yellow | red } 
mapdscp-value 

例如 ; [HUAWEI- 


dsdomain-ds1] 
ip-dscp-outbound afl 
yellow map 8 


quit 

例如 : [HUAWEI- 
dscp-dotlp] quit 
interface 
interface-type 
interface-number 
例如 : [HUAWEH 
interface gigabitethernet 
0/0/1 


trust upstream 
{ ds-domain-name | 
default | none } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
trust upstream ds1 


(3) green: 多 选 一 可 选项 ,指定 将 报 文 标记 为 
绿色 

(4) yellow: 多 选 一 可 选项 ,指定 将 报 文 标记 为 
黄色 

(5) red: 多 选 一 可 选项 ， 指 定 将 报 文 标记 为 红色 
将 DiffServ 域 绑 定 到 报 文 的 入 接口 后 ， 根 据 报 文 
的 PHB 行为 将 其 送 入 对 应 的 端口 队列 , 进行 拥塞 
管理 ， 配 置 丢弃 模板 以 后 根据 报 文 的 颜色 进行 拥 
寒 避 免 

缺 省 情况 下 ，DiffServ 域 中 接口 入 方向 上 IP 报 文 
的 DSCP 优先 级 和 PHB 行为 /颜色 之 间 的 映射 关 
系 如 表 11-9 所 示 ， 可 用 undo ip-dscp-inbound 
[ dscp-value ] 命令 恢复 缺 省 的 映射 关系 ， 如 果 不 
指定 可 选 参数 dscp-value， 将 取消 所 有 dscp 值 与 
服务 等 级 映射 关系 的 配置 

配置 “PHB 行为 / 颇 色 到 DSCP 优先 级 ”优先 级 映 
射 模式 ， 在 接口 出 方向 ， 将 PHB 行为 /颜色 映射 
为 IP 报 文 的 DSCP 优先 级 。 命令 中 的 参数 和 选项 
说 明 参 见 上 一 步 的 ip-dsep-inbound 命令 对 应 的 
参数 和 选项 说 明 

将 DiffServ 域 绑 定 到 报 文 的 出 接口 后 ， 下 游 设 备 
将 根据 报 文 的 DSCP 优先 级 进行 调度 

缺 省 情况 下 ，DiffServ 域 中 接口 出 方向 上 IP 报 文 
的 PHB 行为 /颜色 和 DSCP 优先 级 之 间 的 映射 关 
系 如 表 11-10 所 示 ， 可 用 undo ip-dscp-outbound 
[service-class { green | yellow | red } ] 命 令 恢 复 缺 
省 的 映射 关系 


退出 DSCP 映射 表 视图 ， 返 回 系统 视图 


键入 要 绑 定 DiffServ 域 的 交换 机 端口 ， 进 入 接口 视图 


限 副 他 代 泪 他 | 剖 举 并 村 凋 弹 洲 敬 





在 以 上 接口 上 绑 定 指定 的 DiffServ 域 。 绑 定 后 ， 系 统 
会 根据 DiffSery 域 中 的 映射 关系 将 流 经 该 接口 的 报 文 
优先 级 与 PHB 行为 或 者 报 文 颜色 进行 映射 。 命令 中 的 
参数 和 选项 说 明 如 下 。 

(1) ds-domain-name: 多 选 一 参数 ， 指 定 要 绑 定 的 
DiffServ 域 的 域名 

(2) default: 多 选 一 选项 ， 指 定 绑 定 缺 省 的 DiffServ 域 
(3) none: 多 选 一 选项 ， 指 定 不 信任 报 文 优先 级 ， 取 
消 接 口上 的 PHB 映射 功能 ， 配 置 后 ， 系 统 对 出 入 接口 
的 报 文 都 不 进行 PHB 映射 





【说 明 〗 当 需要 根据 DiffServ 域 中 定义 的 映射 关系 ， 
对 来 自 上 游 设备 的 报 文 进行 优先 级 到 PHB 行为 之 间 
的 映射 操作 时 ， 可 以 通过 本 命令 将 DiffServ 域 应 用 到 
报 文 的 入 接口 ; 当 需 要 根据 DiffServ 域 中 定义 的 映射 
关系 ， 对 流向 下 游 设备 的 报 文 进行 PHB 行为 到 优先 
级 之 间 的 映射 操作 时 ， 可 以 通过 本 命令 将 DiffServ 域 
应 用 到 报 文 的 出 接口 。 但 本 命令 为 覆盖 式 命令 ， 即 在 
同一 接口 视图 下 多 次 执行 该 命令 配置 后 ， 按 最 后 一 次 
配置 生效 
缺 省 情况 下 ， 接 口上 不 应 用 任何 DiffSery 域 ， 可 用 
undo trust upstream 命令 恢复 缺 省 配置 。 如 果 要 修改 
接口 下 绑 定 的 DiffSery 域 ， 必 须 先 执行 undo trust 


trust upstream 

{ ds-domain-name | 
default | none } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
trust upstream dsl 


应 用 
DiffServ 域 


upstream 命令 删除 已 绑 定 
令 重 新 应 用 新 





4 DiffServ 域 


4 DiffServ 域 , 再 执行 本 命 





undo qos phb 
marking enable 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
undo qos phb marking 
enable 


(可 选 ) 取消 对 接口 出 方向 
影响 系统 对 入 接口 的 报 文 进 
为 DS 域 边界 节点 的 设 各 

域 设备 连接 的 接口 的 PHB 
缺 省 情况 下 ， 对 接口 出 方向 


的 报 文 进 行 PHB 映射 (不 
行 PHB 映射 )。 通 常 在 作 
-配置 本 命令 关闭 与 非 DS 
决 射 功能 。 

的 报 文 进行 PHB 映射 











quit 
例如 : [HUAWEI- 
dscp-dotlp] quit 


退出 IP 映射 表 视图 ， 返 回 系 统 视图 





查看 DiffServ 域 的 配置 信息 。 当 用 户 创建 了 DiffServ 
域 并 对 其 中 的 映射 关系 进行 配置 后 ， 可 以 通过 本 命令 
查看 该 DiffServ 域 的 配置 信息 。 如 果 不 指定 所 有 可 选 
参数 ， 该 命令 将 显示 设备 上 已 创建 的 所 有 DiffServ 域 
的 概要 信息 


display diffserv 
domain [ all | name 
ds-domain-name ] 

例如 : [HUAWEI] display 
diffserv domain name d] 


(可 选 ) 
管理 优先 
级 映射 





display qos local- 
precedence-queue-map 
例如 : [HUAWEI 
display qos local- 
precedence-queue-map 


查看 内 部 优先 级 到 队列 的 映射 关系 , 但 S6700 不 支持 
本 命令 。 在 前 面 步骤 配置 了 本 地 优先 级 和 队列 之 间 的 
岂 射 关系 后 ， 可 通过 本 命令 查看 配置 信息 














RE 
壮 羽 


在 S7700/9300/9700 系 列 交 换 机 .! 


























配置 端口 信任 的 报 文 优先 级 时 应 注意 的 地 方 。 




















(1) 在 S 系 列 单 板 的 报 文 入 接口 上 配置 trust 8021p inner 命 令 时 ， 实 际 使 用 的 仍然 是 外 层 VLAN 标 签 的 


802.1p 优 先 级 进行 映射 。 
(2) 在 S 系 列 单 板 的 报 文 入 接口 上 配置 trust 8021p outer 命 令 时 ， 使 ) 
行 映 射 。 如 果 报 文 不 带 VLAN 标 签 ， 则 按照 端口 缺 省 的 802.1p 优 先 级 进入 队列 。 
(3) 在 E 系 列 单 板 和 F 系 列 单 板 的 报 文 入 接口 







































































外 层 VLAN 标 签 的 802.1p 优 先 级 进 























， 系 统 按照 实际 配置 对 报 文 进行 优先 级 映射 。 








(4) E 系 列 单 板 和 F 系 列 单 板 的 报 文 出 接口 上 配置 trust 8021p inner 命 令 时 ， 如 果 从 接口 














发 出 的 报 文 是 双 





层 VLAN 标签 ， 则 根据 PHB/ 颜 色 映 射 到 的 外 层 VLAN 标签 的 802.1p 优 先 级 会 被 写 入 外 层 VLAN 标 签 的 








802.1p 优 先 级 字段 ， 而 不 会 写 入 内 层 VLAN 标 签 的 802.1p 优 先 级 字段 。 
(5) WAN 接 口 板 仅 支 持 trust dscp 配 置 ， 且 缺 省 不 信任 任何 报 文 优先 级 。 



































表 11-7 DiffServ 域 中 接口 入 方向 上 802.1p 优 先 级 与 PHB 行 为 /颜色 之 间 的 缺 省 映射 关系 








PB 6 




















说 | 路 | 内 | 上 | 局 | 一 | 己 























从 表 11-7 可 以 看 出 ， 缺 省 情况 下 ， 在 接口 入 方向 上 ，VLAN 报 文 的 “802.1p 优 先 级 与 PHB 行 为 的 映射 关 

















系 ” 与 “802.1p 优 先 级 与 内 部 优先 级 ”的 映射 关系 是 完全 一 样 的 ， 并 将 所 有 报 文 颜色 都 标识 为 绿 1 
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表 11-8 DiffServ 域 中 接口 出 方向 上 PHB 行 为 /颜色 与 802.1p 优 先 级 之 间 的 缺 省 映射 关系 














PHB 行为 颜色 802.1p 优先 级 
BE 绿色 
黄色 











=~|SISIS 














wblblppl 一 | 一 



































二 | 门 | 个 | 人 CAmImm 上 | 上 | 上 | 

















从 表 11-8 可 以 看 出 ， 缺 省 情况 下 ， 在 接口 出 方向 上 VLAN 报 文 的 *PHB 行 为 /颜色 与 802.1p 优 先 级 的 映射 
关系 ”中 ，“PHB 行 为 与 802.1p 优 先 级 的 映射 关系 ” 仍 是 与 < 内 部 优先 级 与 802.1p 优 先 级 的 映射 关系 ”一 样 ， 但 每 
种 802.1p 优 先 级 和 PHB 行 为 对 应 红 、 黄 、 绿 三 种 颜色 。 




















表 11-9 DiffServ 域 中 接口 入 方向 上 DSCP 优 先 级 和 PHB 行 为 /颜色 之 间 的 缺 省 映射 关系 











本 | 本 
一 一 一 一 一 一 一 一 一 一 一 





过 
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表 11-10 DiffSserv 域 中 接口 出 方向 上 PHB 行 为 /颜色 和 DSCP 优 先 级 之 间 的 缺 省 映射 关系 

































































PHB 行为 颜色 DSCP 
BE 绿色 0 
BE 黄色 0 
BE 红色 0 
AF1 绿色 10 
AF1 黄色 12 
AFl 红色 14 
AF2 绿色 18 
AF2 黄色 20 
AF2 红色 22 
AF3 绿色 26 
AF3 黄色 28 
AF3 红色 30 
AF4 绿色 34 
AF4 黄色 36 
AF4 红色 38 
EF 绿色 46 
EF 黄色 46 
EF 红色 46 
CS6 绿色 48 
CS6 黄色 48 
CS6 红色 48 
CS7 绿色 56 
CS7 黄色 56 
CS7 红色 56 








11.1.5 优先 级 映射 配置 示例 (二) 














本 示例 适用 于 S5700HI5710EI6700/7700/9300/9300E/9700 系 列 交换 机 ， 拓 扑 结构 如 图 11-2 所 示 。Switch 
通过 GE0/0/3 端 口 与 路 由 器 互 连 ， 企 业 分 支 机 构 1 和 企业 分 支 机 构 2 可 经 由 Switch 和 路 由 器 访问 网 络 。 企 业 分 
支 机 构 1 和 企业 分 支 机 构 2 的 VLAN ID 分 别 为 100、200， 且 它们 的 报 文 802.1p 值 均 为 0。 

现 企 业 分 支 机 构 1 需要 更 高 的 服务 等 级 ， 以 便 得 到 更 好 的 QoS 保证 。 这 时 可 通过 定义 DiffServ 域 ， 将 来 自 





























企业 分 支 机 构 1 的 数据 报 文 优先 级 映射 为 AF4 PHB 行 为 ， 将 来 自 





企业 分 支 机 构 2 的 数据 报 文 优先 级 映射 为 


AF2 PHB 行 为 ， 以 提供 差分 服务 C(AF4 的 优先 级 要 高 于 AF2 的 优先 级 ) 。 









Router 


GE0/0/3 


GEO/O/1 


VLAN 100 Switch 





企业 分 支 机 构 1 


VLAN 300 


GE0/0/2 


VLAN 200 


企业 分 支 机 构 2 
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11-2 优先 级 映射 配置 示例 二 拓扑 结构 





























1. 基本 配置 思路 分 析 
本 示例 的 配置 也 很 简单 ， 基 本 配置 思路 如 下 。 
(1) 在 Switch 交换 机 上 创建 所 需 VLAN， 并 配置 各 接口 类 型 ， 并 加 入 对 应 的 VLAN 中 。 
(2) 创建 两 个 不 同 的 DiffServ 域 ， 并 分 配 将 802.1p 优 先 级 值 0 映射 为 不 同 的 PHB 行 为 和 颜色 。 其 中 一 个 
映射 为 优先 级 更 高 的 AF4 PHB 行 为 ， 另 一 个 映射 为 优先 级 较 低 的 AF2 PHB 行 为 。 
(3) 在 Switch 入 GE0/001 和 GE0/0/2 接 口上 对 应 绑 定 以 上 两 个 DiffServ 域 。 
2. 有 具体 配置 步骤 
(1) 批量 创建 所 需要 VLAN。 
<HUAWEI> system-view 
[HUAWEI] sysname Switch 
[Switch] vlan batch 100 200 300 
(2) 将 GE0/0/1、GE0/0/2、GE0/0/3 端口 类 型 均 配 置 为 tunk， 然 后 加 入 对 应 的 VLAN 中 。 
[Switch] interfacegigabitethernet0/0/1 
























































































































































[Switch-GigabitEthernet0/0/1] port link-type trunk 
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interface gigabitethernet0/0/2 
[Switch-GigabitEthernet0/0/2] port link-type trunk 
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 200 
[Switch-GigabitEthernet0/0/2] quit 
[Switch] interface gigabitethernet0/0/3 
[Switch-GigabitEthernet0/0/3] port link-type trunk 
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 200 300 
[Switch-GigabitEthernet0/0/3] quit 
(3) 在 Switch 上 创建 DiffServ 域 dsl1、ds2， 并 配置 将 来 自 企 业 分 支 机 构 1 和 企业 分 支 机 构 2 报 文中 的 
802.1p 优 先 级 值 0 映 射 到 不 同 的 服务 等 级 〈 分 别 为 AF4 和 AF2) 。 
[Switch] diffserv domain ds1 
[Switch-dsdomain-ds1] 8021p-inbound 0 phb af4 green 
[Switch-dsdomain-ds1] quit 
[Switch] diffserv domain ds2 
[Switch-dsdomain-ds2] 8021p-inbound 0 phb af2 green 
[Switch-dsdomain-ds2] guit 
(4) 将 DiffServ 域 ds1 和 ds2 分 别 绑 定 到 接口 GE0/0/1、GE0/0/2， 使 以 上 两 种 优先 级 映射 在 县 体 端口 上 应 











































































































[Switch] interface gigabitethernet0/0/1 
[Switch-GigabitEthernet0/0/1] trust upstream ds1 
[Switch-GigabitEthernet0/0/1] quit 

[Switch] interface gigabitethernet0/0/2 


[Switch-GigabitEthernet0/0/2] trust upstream ds2 
[Switch-GigabitEthernet0/0/2] quit 





























































































































































































































































































































































































































































































































































































































































































































11.2 流量 监管 和 流量 整形 配置 

流量 监管 和 流量 整形 是 通过 监控 进入 网 络 的 流量 速率 来 限制 流量 及 其 资源 的 使 用 ， 保 证 更 好 地 为 用 户 
提供 服务 。 
11.2.1 流量 监管 配置 综述 

流量 监管 〈TP) 就 是 对 流量 进行 控制 ， 通 过 监督 进入 端口 的 流量 速率 ， 对 超出 部 分 的 流量 进行 丢弃 ， 
使 进入 的 流量 被 限制 在 一 个 合理 的 范围 之 内 ， 从 而 保护 网 络 资源 和 用 户 的 利益 。 配 置 基于 接口 的 流量 监管 
后 ， 设 备 将 对 流入 接口 上 所 有 的 业务 流量 进行 流量 监管 ， 配 置 基于 流 的 流量 监管 后 ， 设 备 将 对 符合 流 分 类 
规则 的 报 文 进行 流量 监管 。 具 体 流 量 监管 原理 参见 第 10 章 10.3.4 节 。 

在 所 有 华为 系列 交换 机 中 均 具备 以 下 几 种 流量 监管 功能 (可 同时 配置 ) 。 

1. 基于 接口 的 流量 监管 

基于 接口 的 流量 监管 是 指 对 进入 该 接口 的 所 有 流量 进行 控制 ， 而 不 区 分 具体 报 文 的 类 型 。 监 管 的 结果 
是 丢弃 超出 速率 限制 的 部 分 ， 使 进入 设备 的 该 类 流量 被 限制 在 一 个 合理 的 范围 之 内 ， 从 而 保护 网 络 资源 。 

2. 基于 管理 网 口 的 流量 监管 

当 设 备 的 管理 网 口 由 于 恶意 攻击 、 网 络 异常 等 原因 导致 流量 过 大 时 ， 会 导致 CPU 占 用 率 过 高 ， 进 而 影 
响 系 统 正常 运行 。 为 了 使 系统 正常 运行 ， 也 需要 对 管理 网 口 的 流量 进行 限制 。 

S2700/3700 系 列 不 支持 基于 管理 网 口 的 流量 监管 。 



































































































































3， 基于 流 的 流量 监管 

基于 流 的 流量 监管 是 指 在 设备 上 经 过 流 分 类 后 ， 对 符合 流 分 类 的 流量 进行 速率 限制 。 通 过 监督 进入 设 
备 的 该 类 流量 速率 ， 丢 弃 超 出 速率 限制 的 部 分 ， 使 进入 设备 的 该 类 流量 被 限制 在 一 个 合理 的 范围 之 内 。 基 
于 流 的 流量 监管 采用 双 令 牌 桶 技术 ， 可 实现 出 /入 两 个 方向 的 端口 限 速 和 流 限 速 。 

S2700SI 系列 交换 机 不 支持 基于 流 的 流量 监管 。S5700HI5710EI7700/9300/ 9300E/9700 系 列 交换 机 支 


持 对 上 行 流 作 两 次 CAR， 即 在 对 符合 流 分 类 的 上 行 流 作 完 一 次 CAR 后 ， 将 所 有 的 上 行 流 聚 合 在 





次 共享 CAR， 



































起 再 作 

















这 里 所 有 

















的 上 行 流 是 指 满足 同一 流 策略 中 绑 定 了 配置 共享 CAR 的 流行 为 的 流 分 类 的 入 方向 业 














从 配置 方法 上 来 看 ， S2700/3700/5700/6700 系列 交换 机 的 配置 方法 一 样 ， 而 $S7700/9300/9300E/9700 系 








































































































































































































































































































列 交 换 机 的 配置 方法 一 样 。 下 面 分别 予 以 介绍 。 
11.2.2 配置 流量 监管 

华为 $ 系 列 交换 机 支持 基于 接口 、 基 于 管理 网 口 和 基于 流 这 三 种 流量 监管 功能 ， 用 户 可 以 选择 配置 所 需 
的 一 种 或 全 部 的 流量 监管 功能 。 下 面 分 别 介 绍 这 三 种 流量 监管 功能 的 配置 方法 。 

1. 配置 基于 接口 的 流量 监管 

基于 接口 的 流量 监管 是 在 交换 机 端口 上 应 用 监管 策略 ， 控 制 进 入 该 端口 的 所 有 流量 的 速率 ， 使 端口 接 
收 的 流量 被 限制 在 一 个 合理 的 范围 之 内 《丢弃 超出 速率 限制 的 部 分 ) 。 但 S2700SI 和 S2710SI 系 列 交换 机 不 
支持 对 接口 入 方向 配置 流量 监管 。 在 基于 接口 的 流量 监管 配置 方面 ，S2700/3700/5700/6700 系 列 与 
S7700/9300/9300E/9700 系 列 的 配置 方法 有 所 不 同 。 









































(1) S2700/3700/5700/6700 系 列 交换 机 基于 接口 的 流量 监管 配置 





形 来 实现 的 ) 
报 文 将 被 丢弃 


在 S2700/3700/5700/6700 系列 交换 机 中 ， 是 在 对 应 的 接口 视图 下 使 
cbs-value ] 命令 配置 接口 入 方向 上 的 流量 监管 速率 (出 方向 上 的 流量 控制 



































目 、 刀 


4 qos lr inbound cir cir-value [ cbs 























过 本 章 后 面 将 要 介绍 的 流量 整 




















契 地 

















。 通 过 执行 本 命令 ， 如 果 接 口 在 入 方向 上 收 到 报 文 的 速率 大 于 配置 的 流量 监管 速率 ， 那 么 该 

































































。 如 果 多 个 接口 需要 配置 相同 的 流量 监管 速率 ， 可 通过 接口 组 进行 配置 ， 以 减少 重复 配置 工 
作 。 命 令 中 的 参数 说 明 如 下 。 
CD cir-value: 指定 接口 承诺 信息 速率 (Committed Information Rate) ， 







































































即 保 订 








全 已 
LEe 


够 通过 的 平均 速率 ， 单 











位 为 kbits， 但 不 同 的 接口 类 型 取 值 范围 不 同 ， 如 标准 以 太 网 接口 的 取 值 范围 为 64 一 100 000 的 整数 ， 千 兆 以 
值 范围 为 64 一 1 000 000 的 整数 ， 万 兆 以 太 网 接口 的 取 值 范围 为 64 一 10 000 000 的 整数 ，40GE 


太 网 接口 的 取 
接口 的 取 值 范 













































































围 为 64 一 40 000 000。 





@ cbs-value: 可 选 参 数 ， 指 定 承诺 突 发 尺寸 《Committed Burst Size) ， 即 瞬间 能 够 通 
量 。 单 位 为 byte( 字 节 〉 ， 取 值 范 围 为 4000~4 294 967 295 的 整数 。 若 不 指定 该 参数 : 单 令 牌 桶 时 ， 本 参 
数 的 缺 省 值 为 参数 cir-value 取 值 的 188 倍 ， 双 令 牌 桶 时 ， 本 参数 的 缺 省 值 为 cir-value 参 数 取 
覆盖 式 命 令 ， 即 在 同一 接口 多 次 配置 流量 整形 参数 后 ， 按 最 后 一 次 配置 4 


中 


























本 命令 为 
下 ， 接 口 入 方 






























































向 上 不 进行 流量 监管 ， 即 监管 速率 缺 省 为 接口 的 最 大 带宽 ， 




















复 对 应 接口 或 
(2) 在 S 








在 S7700/9300/9300E/9700 系列 ! 

















接口 组 入 方向 上 的 流量 监管 速率 为 缺 省 值 。 
7700/9300/9300E/9700 系 列 交 换 机 基于 接口 的 流量 配置 






























































具体 接口 下 配 





























置 监管 速率 。 有 具体 步骤 如 下 。 


























中) 























过 的 承诺 突 发 流 


























值 的 125 倍 。 
E 效 。 缺 省 情况 


jundo qos lr inbound 命令 恢 











基于 接口 的 流量 配置 需要 先 在 系统 视图 下 配置 好 CAR 模 板 ， 然 后 在 














Q 在 系统 视图 下 通过 qos car car-name {cir cir-value [ cbs cbs-value [pbs pbs-value ] |pir pir-value [ cbs cbs- 














valuepbs pbs-value ] ] } 命令 创建 并 配置 CAR 模 板 ， 其 中 的 参数 说 明 如 下 。 
e car-name: 指定 QoS CAR 模 板 名 称 ， 取 值 范 围 为 1 一 31 个 字符 。 
e cir-value: 二 选 一 参数 ， 指 定 承诺 信息 速率 ， 即 保证 能 够 通过 的 平均 速率 ， 单 位 为 kbit/s， 取 值 范围 为 


64~4 294 967 



































295 的 整数 。 
































e@ cbs-value: 可 选 参数 ， 指 定 承 诺 突 发 尺寸 ， 即 瞬间 能 够 通过 的 承诺 突 发 流量 。 单 位 为 byte( 字 节 )， 
取 值 范围 为 4000~4 294 967 295 的 整数 。 若 不 指定 该 参数 : 单 令 牌 桶 时 ， 本 参数 的 缺 省 值 为 参数 cir-value 
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Ew 


直 的 188 倍 ; 

















双 令 牌 桶 时 ， 本 参数 的 缺 省 值 为 cir-value 参 数 取 值 的 125 倍 。 
























































e pir-value: 二 选 一 参数 ， 指 定 峰 值 信息 速率 (Peak Information Rate) ， 即 最 大 能 够 通过 的 速率 。 单 位 


为 kbiWs， 取 值 范围 为 64 一 4 294 967 295 的 整数 ， 但 本 参数 值 必须 大 于 等 于 cir-value 参 数值 。 


e pbs-value: 可 选 参数 ， 指 定 峰 值 突 发 尺寸 (Peak Burst Size) ， 即 瞬间 能 够 通 





















































过 的 峰值 突 发 流量 ， 单 
































位 为 byte， 取 值 范 围 为 10 000 一 4294 967 295 的 整数 。 但 本 参数 值 必须 大 于 等 于 cbs-value 参 数值 ， 缺 省 为 
pir-value 值 的 125 倍 。 


说 明 



































当 流量 监管 速率 取 值 超过 接口 最 大 速率 时 ， 相 当 于 没有 对 接口 实行 流 








报 文 的 颜 4 











配置 cir-value 和 pir-value 参 数 的 值 小 于 接口 速率 。 
当 cbs-value 值 小 于 当前 部 署 业务 : 
色 识 别 出 现 问题 ， 建 议 配置 pbs-value 参 数值 大 于 cbs-value 参 数值 。 















































色 由 qos car 中 的 cbs cbs-value、pbs pbs-value 参 数 共 同 确定 。 


e 报 文 的 突 发 尺寸 <cbs-value 时 ， 报 文 被 标记 为 绿色 。 


® cbs-valu 














ez< 报 文 的 突 发 尺寸 <pbs-value 时 ， 报 文 被 标记 为 黄色 。 





量 响 


大 各 




















里 I 





三 赣 。 





请 根据 接口 








的 实际 速率 


单个 报 文 的 字 节 数 时 ， 将 导致 这 些 报 文 被 直接 丢弃 。 为 避免 报 文 闫 


e 报 文 的 突 发 尺寸 >pbs-value 时 ， 报 文 被 标记 为 红色 。 


说 明 


本 命令 创建 的 QoS CAR 模 板 可 以 应 


























到 以 下 











体 场景 中 。 








e 在 流行 为 视 医 


区 









































下 ， 执 行 car car-name share 命 令 对 指定 类 别 的 业务 流量 进行 流量 监管 。 
e 在 接口 视图 下 ， 执 行 qos car inbound car-name 命 令 对 接口 




















入 方向 上 的 所 有 报 文 进行 流量 监管 。 








e 在 VLAN 视图 下 应 用 QoS CAR 模板 时 ， 执 行 storm suppression broadcast car-name [ share ] 命令 可 对 











VLAN 的 上 行 厂 


























播 流量 进行 流量 监管 ， 执 行 storm suppression multicast car-name [ share ] 命令 可 对 VLAN 的 



































上 行 组 播 流 量 进 
































\ 症 一 As 旦 . 和 全 
进行 流量 监管 





o 

















缺 省 情况 下 ， 系 统 未 创建 QoS CAR 模 板 ， 可 用 undo qos car car-name 命 令 删 
































人 @ 然后 在 
对 流入 该 接口 




















LL 体 接口 视图 下 配置 qos car inbound car-name 命 令 ， 在 接口 


























行 流量 监管 ， 执 行 unicast-suppression car-name [ share ] 命令 可 对 VLAN 的 上 行 未 知 单 播 流 量 











除 指 定 的 QoS CAR 模 板 。 
上 应 用 前 面 创建 的 CAR 模板 ， 以 

































































的 所 有 业务 流量 实施 流量 监管 。 如 果 多 个 接 











配置 ， 以 减少 重复 配置 工作 。 
































缺 省 情况 




















下， 接口 











组 入 方向 上 应 | 














上 不 应 用 任何 QoS CAR 模 板 ， 可 用 undo qos car inbound 命 令 删 除 在 对 应 接口 或 者 接 
的 QoS CAR 模 板 。 
【示例 1】 在 S2700/3700/5700/6700 系 列 交 换 机 上 限制 Eth0/0/1 接 


20 000kbit/s， 承 诺 突 发 尺寸 为 375 000 字 节 。 
<HUAWEI> system-view 
[HUAWEI] interface ethernet 0/0/1 
[HUAWEI-Ethernet0/0/1] gos lr inbound cir 20000 cbs 375000 
[HUAWEI-Ethernet0/0/1] guit 


【示例 2】 在 S7700/9300/9700 系 列 交换 机 上 ， 对 GE1/0/1 接 口 入 方向 报 文 应 用 名 为 qoscarl 的 QoS CAR 














模板 进行 流量 监管 ， 限 和 














<HUAWEI>system-view 
[HUAWEI] gos car qoscarl cir 10000 cbs 10240 
[HUAWEI] interfacegigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] qos car inbound qoscarl 
[HUAWEI-GigabitEthernet1/0/1] quit 



























































0/0/0) 的 恶意 攻击 ， 使 得 设备 CPU 占用 率 过 高 ， 进 而 影响 系统 正常 运行 。 通 过 在 管理 








由 该 接 























I 大 乱入 
TU 已 

















可 通 ; 
2. 配置 管理 网 口 的 流量 
基于 管理 网 口 的 流量 监管 
防 一 些 对 管理 端 
管 ， 限 制 由 管理 网 口 进 





























大 入 












































【示例 3】 











里 网 口 的 流量 监管 的 配置 也 4 
于 管理 网 口 的 限 速 功能 ， 即 
文 数 ， 单 位 为 pps， 取 值 范围 






































限制 管理 


(S2700/3700 系 列 交 换 机 不 支持 〉 是 专门 针对 管理 端口 
口 〈 在 S5700/6700 系列 交换 机 中 为 meth 0/0/1， 








口 需要 配置 相同 的 QoS CAR， 可 通过 端口 组 进行 









































入 方向 上 接收 数据 的 承诺 信息 速率 为 











口上 接收 数据 的 承诺 速率 为 10 000kbit/s， 承 诺 突 发 尺寸 为 10 240 字 节 。 


过 display qos car { all name car-name } 命 令 查 看 CAR 模 板 的 配置 信息 。 



































进行 的 流量 监管 ， 以 
S7700/9300/9700 系 列 交换 机 中 为 ethernet 























入 设备 的 流量 速率 ， 以 保证 系统 正常 运行 。 




















端口 上 配置 流量 监 
































恨 简单， 就 是 在 对 应 的 管理 端口 视图 

















网 口 








的 包 速 率 。 参 数 用 来 



































下 使 用 qos lr pps packets 命 令 配置 对 
里 端口 上 的 包 速 率 ， 即 每 秒 通 过 的 报 









































已 AAA 
日 契 




















是 〈1 一 10 240) 的 整数 。 























限制 S5700 系 列 交 换 机 管理 网 
<HUAWEI>system-view 
[HUAWEI] interface meth 0/0/1 














MEth0/0/1 的 包 速 率 为 1 000pps。 


[HUAWEI -MEthO/O/1] gos lr pps 1000 
【示例 4】 限 制 S7700 系 列 交换 机 管理 网 口 Ethernet0/0/0 的 包 速 率 为 1 000pps。 
<HUAWEI> system-view 
[HUAWEI] interface ethernet 0/0/0 
[HUAWEI-Ethernet0/0/0] gos lr pps 1000 
3. 配置 基于 流 的 流量 监管 



















































































若 需 要 对 接口 入 方向 某 类 流 






































量 进行 控制 时 ， 就 不 能 采用 前 面 介 绍 的 基于 接口 的 流量 监管 了 ， 
采用 此 处 介绍 的 基于 流 的 流量 监管 。 但 S2700SI 系 列 交换 机 不 支持 基于 流 的 流量 监管 。 
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基于 流 的 流量 监管 其 实 就 是 一 个 配置 和 应 用 QoS 策略 的 过 程 ，j 


全 










































































包括 “定义 流 分 类 ”、“ 配 置 流 和 


而 是 需要 





过 | 




















为 "`“ 配 置 流 策略 ?和 “应 用 流 策略 ”四 大 步骤 ， 基 本 说 明 如 下 《具体 在 本 章 后 面 介 绍 ) 。 
《1) 定义 流 分 类 。 可 根据 报 文中 的 二 层 信 息 、 三 层 信 息 、ACL 对 不 同 报 文 进行 分 类 。 (2 


























为 。 创 建 流行 为 ， 并 对 不 同 分 类 的 报 文 配 置 对 应 的 流量 监管 行为 。 








































































































































































































(3) 配置 流 策略 。 创 建 流 策略 ， 关 联 上 面 定义 的 流 分 类 和 流行 为 。 

(4) 应 用 流 策略 。 在 全 局 、VLAN 或 具体 的 交换 机 端口 上 应 用 上 面 配置 的 流 策略 ， 进 行 流量 监管 。 在 
端口 上 进行 流量 监管 则 此 端口 单独 享有 端口 限制 速率 ， 而 在 全 局 进行 流量 监管 则 所 有 端口 共享 端口 限制 速 
率 。 

说 明 

相同 的 流 策略 可 以 在 不 同 的 接口 下 应 用 ， 当 匹配 流 分 类 规则 的 报 文 的 接收 或 发 送 速率 超过 限制 速率 
































时 ， 直 接 被 丢弃 。 基 于 流 的 流量 监管 ， 可 以 通过 流 分 类 ， 为 不 同业 务 提供 更 细致 的 差分 服务 。 
在 S5700SI、S5700LI 和 S5700S-LI 系 列 交 换 机 中 ， 如 果 同 时 配置 了 接口 入 方向 的 流量 监管 、VLAN 的 广 
播 流 量 抑制 ， 以 及 入 方向 的 基于 流 的 流量 监管 时 ， 且 有 报 文 同时 符合 上 述 两 种 或 两 种 以 上 限 速 的 条 件 ， 限 
I 流量 监管 、VLAN 的 广播 流量 抑制 、 入 方向 的 基于 流 的 流量 监 













































































速生 效 的 优先 级 由 高 到 低 依次 是 接口 入 方 


[ely 
到 



























































管 。 例 如 ， 同 时 匹配 了 接口 入 方向 的 流量 监管 和 VLAN 的 广播 流量 抑制 ， 则 接口 入 方向 的 流量 监管 生效 。 

















11.2.3 配置 流量 整形 




















流量 整形 《TS) 是 一 种 主动 调整 流量 输出 速率 的 措施 。 当 下 游 设备 的 入 接口 速率 小 于 上 游 设备 的 出 接 



























































口 速率 或 发 生 突 发 流量 时 ， 下 游 设 备 入 接口 处 可 能 出 现 流 量 拥塞 的 情况 ， 此 时 用 户 可 以 通过 在 上 游 设备 的 


出 接口 上 配置 流量 整形 ， 将 上 游 不 规整 的 流量 得 到 整形 ， 输 出 一 条 速率 比较 平整 的 流量 ， 从 而 解决 下 游 设 




















备 的 拥塞 问题 。 配 置 流量 整形 后 ， 可 实现 报 文 的 流量 以 均匀 的 速率 向 外 发 送 ， 减 少 因 超过 承诺 速率 而 被 于 





弃 的 报 文 。 




















与 流量 监管 相同 ， 流 量 整 形 也 是 对 流量 进行 限 速 。 但 是 利用 流量 监管 进行 限 速 时 ， 系 统 会 直接 丢弃 不 
当 令 牌 桶 有 足够 的 令 牌 























符合 速率 要 求 的 报 文 ， 而 流量 整形 将 不 符合 速率 要 求 的 报 文 先 送 入 队列 进行 缓存 ， 















































Ei 








时 ， 再 均匀 地 向 外 发 送 这 些 被 缓存 的 报 文 。 流 量 整形 会 增加 延迟 〈 由 于 流量 整形 采用 了 缓存 机 4 
































量 监管 几乎 不 引入 额外 的 延迟 。 
所 有 华为 $ 系 列 交换 机 均 支 持 以 下 两 种 流量 整形 功能 〈 可 同时 配置 ) 。 
e 基于 接口 的 流量 整形 
对 接口 上 所 有 通过 的 报 文 进行 流量 整形 。 
e 基于 队列 的 流量 整形 

















NS 


























YY 









































据 、 视 频 ) 的 流量 整形 。 











关 ) ， 而 流 


对 接口 上 通过 的 某 类 报 文 〈 基 于 简单 流 分 类 ) 分 别 进行 流量 整形 ， 从 而 可 实现 针对 业务 (如 话音 、 数 























1. 基于 接口 的 流量 整形 配置 
如 果 需 要 对 接口 出 方向 所 有 流量 进行 控制 ， 可 以 配置 基于 接口 的 流量 整形 。 这 样 ， 当 接口 发 送 报 文 的 
速率 超过 限制 速率 时 ， 超 出 的 那 部 分 报 文 先进 入 缓存 队列 ， 当 令 牌 桶 有 足够 的 令 牌 时 ， 再 均匀 地 向 外 发 送 
这 些 被 缓存 的 报 文 ， 当 缓存 队列 已 满 时 ， 报 文 将 被 丢弃 。 
华为 系列 交换 机 配置 基于 接口 流量 整形 的 方法 是 在 对 应 接口 下 使 用 gos lr outbound cir cir-value [ cbs 
cbs-value ] (S2700/3700/5700/6700 系列 中 ) 命令 ， 或 qos lr cir cir-value [ cbs cbs-value ] [outbound ] 
(S7700/9300/9300E/9700 系 列 中 ) 命令 进行 的 。 如 果 多 个 接口 需要 配置 相同 的 流量 整形 速率 ， 可 通过 接口 
组 进行 配置 ， 以 减少 重复 配置 工作 。 命 令 中 的 参数 说 明 如 下 。 
(1) cir-value: 指定 接口 承诺 信息 速率 ， 即 保证 能 够 通过 的 平均 速率 ， 单 位 为 kbiys， 但 不 同 的 接口 类 
型 取 值 范围 不 同 ， 如 标准 以 太 网 接口 的 取 值 范围 为 64 一 100 000 的 整数 ， GE 接口 的 取 值 范围 为 64 一 1 000 
000 的 整数 ，10GE 接 口 的 取 值 范围 为 64 一 10 000 000 的 整数 ，40GE 接 口 的 取 值 范围 为 64 一 40 000 000。 
(2) cbs-value: 可 选 参数 ， 指 定 承 诺 突 发 尺寸 ， 即 瞬间 能 够 通过 的 承诺 突 发 流量 。 单 位 为 byte 〈 字 
节 ) ， 取 值 范围 为 4000 一 4 294 967 295 的 整数 。 若 不 指定 该 参数 : 单 令 牌 桶 时 ， 本 参数 的 缺 省 值 为 参数 cir- 
value 取 值 的 188 倍 : 双 令 牌 桶 时 ， 本 参数 的 缺 省 值 为 cir-value 参 数 取 值 的 125 倍 。 
本 命令 为 覆盖 式 命 令 ， 即 在 同一 接口 多 次 配置 流量 整形 参数 后 ， 按 最 后 一 次 配置 生效 。 缺 省 情况 下 ， 
接口 上 不 进行 流量 整形 ， 即 整形 速率 缺 省 为 接口 的 最 大 带宽 〈 如 Ethernet 接 口 为 100 000kbits，GE 接 口 为 1 
000 000kbits) ， 可 用 undo qos lr outbound (S2700/3700 系 列 交换 机 中 〉 或 undo qos 
lr 《S5700/6700/7700/9300/9700 系 列 中 ) 命令 用 来 取消 对 应 接口 或 者 接口 组 上 的 流量 整形 功能 。 
【示例 1】 在 S2700/3700/5700/6700 系 列 中 ， 限 制 GE0/0/1 接 口 向 外 发 送 数 据 的 承诺 信息 速率 为 20 
000kbit/s， 承 诺 突 发 尺寸 为 375 000 字 节 。 
<HUAWEI > system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] qos lr outbound cir 20000 cbs 375000 
[HUAWEI-GigabitEthernet0/0/1] quit 
【示例 2】 在 S7700/9300/9300E/9700 系 列 中 ， 限 制 GE1/0/1 接 口 向 外 发 送 数 据 的 承诺 信息 速率 为 20 
000kbit/s， 承 诺 突 发 尺寸 为 375 000 字 节 。 
<HUAWEI> system-view 
[HUAWEI] interface gigabitethernet1/0/1 
[HUAWEI-GigabitEthernet1/0/1] qos lr cir20000 cbs 375000 outbound 
[HUAWEI-GigabitEthernet1/0/1] quit 
【示例 3】 在 S7700/9300/9300E/9700 系 列 中 ， 通 过 接口 组 group1， 限 制 GE1/0/1~~GE1/0/6 接 口 的 CIR 为 
200 000kbit/s，CBS 为 3 750 000 字 节 。 
<Qu idway> system-view 
[HUAWEI] port-group group1 


































































































































































































































































































































































































































































































































































































































































































[HUAWEI-port-group-group1] group-member gigabitethernet 1/0/1 to gigabitethernet 1/0/6 

[HUAWEI-port-group-group1] qos lr cir 200000 cbs 3750000 

[HUAWEI-port-group-group1] quit 

2. 配置 基于 接口 队列 的 流量 整形 

上 面 介绍 的 基于 接口 的 流量 整形 
形 。 此 处 介绍 的 基于 接口 队列 的 流 









































又 分 报 文 类 型 的 ， 对 所 有 从 该 接口 发 送 的 报 文 都 进行 同样 的 整 
多 可 以 实现 对 不 同类 型 报 文 区 分 整形 。 对 从 交换 机 内 部 进入 到 出 接 
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RS 
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配置 参见 第 10 章 10.2 节 。 











的 报 文 先 根据 所 配置 的 优先 级 映射 进入 到 
量 整 形 参数 ， 以 实现 对 不 同业 务 的 差分 服务 。 也 了] 





接口 























的 不 同 队 列 ， 然 后 针对 不 同 的 优先 级 队列 设置 不 同 的 流 
E 因 如 此 ， 在 配置 基于 接口 队列 的 流量 整形 前 ， 需 要 配置 






































不 同 的 S 交换 机 系列 ， 配 置 基 于 接口 队列 的 流量 整形 的 方法 月 
































优先 级 映射 ， 将 报 文 的 优先 级 映射 为 PHB 行 为 ， 从 而 使 不 同业 务 进 入 不 同 的 接口 队列 。 有 关 优 先 级 映射 的 


不 同 。 (1) 在 除 S2700-52P-EI/2700- 








52P-PWR-EI 之 外 的 其 他 S2700EI 系 列 交 换 机 
行 配置 。 


























shaping cir cir-value cbs cbs-value 命令 进 














， 需 要 在 对 


应 的 出 接口 
(2) 在 其 他 S 系列 











视图 下 使 用 qos queue queue-index 
交换 机 中 ， 需 要 在 对 应 的 出 接口 视图 下 














使 用 qos queue queue-index shaping cir cir-valuepirpir-value [ cbscbs-valuepbs pbs-value ] 命令 进行 配置 。 这 两 


个 命令 中 的 参数 说 
(1) queue-index: 
为 0~7。 可 为 接口 
(2) cir-value: 指定 接口 
型 取 值 范围 不 同 :标准 以 大 网 
000 的 整数 ，10GE 接 口 的 取 值 范围 
为 端口 的 最 大 带宽 。 


明 如 下 。 

















范围 










































































生 砚 











(3) pir-value: 指定 峰值 信息 速率 ， 即 最 大 能 够 通过 的 速率 。 自 
1 的 取 值 范围 为 64 一 100 000 的 整数 ，GE 接 口 的 取 值 范围 
的 取 值 范围 为 64 一 10 000 000 的 整数 ， 
































围 不 同 : 标准 以 太 网 接 
10GE 接 





























接口 的 取 值 范围 
为 0 一 10 000 000 的 整数 ，40GE 接 口 


间 定 队列 索引 号 ， 除 S2700 系 列 的 取 值 范围 
的 各 个 队列 配置 整形 功能 。 
承诺 信息 速率 ， 即 保证 能 够 通过 的 平均 速率 ， 单 
为 0 一 100 000 的 整数 ， 千 兆 以 太 网 接口 

















最 大 带宽 ， 且 必须 大 于 等 于 cir-value 参 数值 。 
(4) cbs-value: 可 选 参 数 ， 指 定 承诺 突 发 尺寸 ， 即 瞬间 能 够 通过 的 承诺 突 发 流量 。 单 位 为 byte〈 字 
节 ) ， 取 值 范围 为 4000~4 294 967 295 (S2700/3700/5700/6700 系 列 中 ) 或 10 000~4 294 967 























295 (S7700/9300/9300E/9700 系 列 中 〉 的 整数 。 若 不 指定 该 参数 ， 单 令 
value 取 值 的 188 倍 ; 双 令 牌 桶 时 ， 本 参数 的 人 
匠 值 突 发 尺寸 ， 即 














(5) pbs-value: 指定 
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为 0 一 3 外 ， 其 他 所 有 S 系 列 交换 机 的 取 值 












































位 为 kbiys， 但 不 同 的 接口 类 
的 取 值 范围 为 0 一 1 000 



































的 取 值 范 轩 








为 0 一 40 000 000。 缺 省 值 
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立 为 kbit/s， 但 不 同 的 接口 类 型 取 值 范 























为 64 一 1 000 000 的 整数 ， 











40GE 接口 





























的 取 值 范 转 





为 64 一 40 000 000。 缺 省 值 为 端口 





的 
































决 省 值 为 cir-value 参 数 取 值 的 125 倍 。 
反 间 能 够 通过 的 峰值 突 发 流量 。 整 数 形式 ， 取 值 范 转 





一 4 294 967 295， 单 位 是 byte。 缺 省 值 与 配置 的 pir-value 有 关 











均 可 用 undo qos queue queue-index shaping 命 令 恢复 接 
【示例 4】 在 S2700-52P-EI/2700-52P-PWR-EI 系 列 交换 机 GE0/0/1 端 





CIR 为 1 000kbit/s、CBS 为 125 000byte。 
<HUAWEI> system view 


[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] qos queue 2 shaping cir 1000 cbs 125000 
[HUAWEI-GigabitEthernet0/0/1] quit 





【示例 5】 在 S2700-52P-E1/2700-52P-PWR-EI 系 列 之 外 的 S 系 列 交换 机 GE1/0/1 端 口 





桶 时 ， 本 参数 的 缺 省 值 为 参数 cir- 


























是 10 000 





in 








形 功 能 ， 参 数 CIR 为 10 000kbit/s、PIR 为 20 000kbit/s。 


<HUAWEI> system-view 


[HUAWEI] interfacegigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] qosqueue 4 shaping cir 10000 pir 20000 
[HUAWEI-GigabitEthernet1/0/1] quit 


说 明 























如 果 在 同 























接口 下 既 配 置 接口 队列 整形 功能 ， 又 配置 接口 整 














es 




















口上 各 参数 的 


功 、 


缺 省 值 。 
口 2 队 列 上 配置 队列 整形 功能 ， 参 数 
























































4 队列 上 配置 队列 整 





， 则 接口 整形 的 CIR 必 须 大 于 等 于 





< 
CC 

















接口 所 有 队列 整形 的 CIR 之 和 ; 否则 ， 流 量 整 形 会 出 现 异常 现象 ， 如 低 优先 级 队列 抢占 高 优先 级 队列 的 带宽 
等 。 

3. (可 选 ) 配置 接口 队列 缓存 

可 以 任 一 流量 整形 功能 配置 接口 队列 的 组 在。 缓存 大 小 会 影响 到 队列 整形 的 效果 ， 可 以 根据 网 络 实际 
需求 ， 配 置 接口 指定 队列 缓存 大 小 。 修 改 接口 队列 缓存 前 需要 使 用 shutdown 命 令 关 闭 接口 ， 配 置 完 后 再 使 
jundo shutdown 打 开 接 口 ， 否 则 配置 不 生效 。 同 样 不 同 S 系 列 交 换 机 的 配置 方法 有 所 不 同 。 

(1) 在 S2700/3700/5700EI 系 列 交换 机 中 
在 具体 接口 或 者 接口 组 下 使 用 gos queue queue-indexmax-length packet-number 命 令 配 置 接 口 队列 缓存 大 
小 ， 但 只 有 S2700-52P-EI、S2700-52P-PWR-EI、S2710SI、S3700SI、S3700EI 支 持 此 命令 。 命 令 中 的 参数 说 
明 如 下 。 

QD queue-index: 指定 队列 索引 号 ， 除 S2700 系 列 的 取 值 范围 为 0 一 3 外 ， 其 他 所 有 S 系 列 交换 机 的 取 值 范 
围 为 0 一 7 的 整数 。 可 为 接口 的 各 个 队列 配置 缓存 大 小 。 

@)packet-number: 指定 该 队列 最 大 可 缓存 的 报 文 个 数 ， 取 值 范围 是 5 一 980 的 整数 。 

缺 省 情况 下 ， 队 列 0 可 以 缓存 报 文 的 最 大 报 文 个 数 是 400， 其 他 队列 可 以 缓存 报 文 的 最 大 报 文 个 数 是 
89， 可 用 undo qos queue queue-indexmax-length 命 令 用 来 恢复 对 应 队列 可 以 缓存 报 文 的 最 大 报 文 个 数 到 缺 省 
值 。 
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【示例 6】 在 S2700/3700/5700EI 系 列 交换 机 中 配置 GigabitEthernet0/0/1 接 口 队 列 0 可 以 缓存 报 文 的 最 大 报 
文 个 数 为 155。 
<HUAWEI> system-view 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] qos gueue Omax-length 155 
(2) 在 S5700HI/6700/7700/9300/9300E/9700 系 列 交换 机 中 
在 具体 接口 或 者 接口 组 下 使 用 qos queue queue-index length length-value 命 令 配 置 接口 的 优先 级 队列 长 
。 命 令 中 的 参数 说 明 如 下 。 
QD) queue-index: 指定 队列 索引 号 ， 取 值 范 围 为 0~7 的 整数 。 可 为 接口 的 各 个 队列 配置 缓存 大 小 。 
@@ length-value: 指定 该 队列 的 最 大 长 度 ， 单 位 为 byte， 取 值 范 围 是 0~1 000 000 000 的 整数 。 
缺 省 情况 下 ， 系 统统 一 自动 管理 各 接口 的 优先 级 队列 长 度 ， 可 用 undo qos queue queue-index length 命 令 
取消 在 对 应 队列 上 配置 的 优先 级 队列 长 度 。 
【示例 7】 在 S5700HI/6700/7700/9300/9300E/9700 系 列 交 换 机 中 ， 配 置 GE1/0/0 接 口上 的 优先 级 队列 1 的 
长 度 为 20 000 字 节 。 
<HUAWEI> system view 
[HUAWEI] interface gigabitethernet 1/0/0 
[HUAWEI-GigabitEthernet1/0/0] qos queuel length 20000 
(3) 在 $5700SI5700LI5700S-LI 系 列 交换 机 中 
在 S5700SI5700LI5700S-LI 系 列 交换 机 中 ， 在 拥塞 发 生 期 间 ， 可 以 对 报 文采 用 尾部 丢弃 〈Tail-Drop ) 的 
方法 。 当 队列 的 长 度 达 到 最 大 值 后 ， 所 有 新 入 队列 的 报 文 〈 绥 存在 队列 尾部 ) 都 将 被 丢弃 ， 直 到 拥塞 解 
诀 。 可 使 用 qos queue max-length 命 令 配置 接口 指定 队列 可 以 缓存 报 文 的 最 大 报 文 个 数 ， 确 保 该 队列 有 足够 
可 用 的 缓冲 区 ， 避 免 队 列 因为 不 能 得 到 缓冲 区 而 丢失 流量 。 采 用 尾部 丢弃 法 的 接口 队列 缓存 的 配置 比较 复 
杂 ， 具 体 步 又 如 下 。 
(1) 先 在 系统 视图 下 使 用 qos tail-drop-profileprofile-name 命 令 创建 全 局 尾 技 弃 模 板 ， 并 进入 尾 技 弃 模 
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板 视图 。 参 数 用 来 profile-name 用 来 指定 尾 丢 弃 模 板 名 称 ， 为 1 一 16 个 字符 ， 不 支持 空格 ， 不 区 分 大 小 写 ， 但 
定义 的 模板 数量 不 能 超过 7 个 ， 和 否则 系统 会 报错 。 

缺 省 情况 下 ， 系 统 没 有 创建 任何 全 局 尾 丢 弃 模板 ， 可 用 undo qos tail-drop-profile profile-name 命 令 删 除 
己 存 在 的 指定 尾 丢 弃 模板 。 

(2) 然后 在 5700SIH5700-28P-LI5700-52P-LI 系 列 交 换 机 中 使 用 qos queue queue- indexmax-lengthpacket- 
number [green max-length packet-number] 命令 ， 在 S5700-10P-LI 5700-28X-LI/5700-52X-LI 系列 交换 机 中 使 
有 qos queue queue-indexgreen max-length packet-numbemon-green max-length packet-number 命 令 配 置 接口 队 
列 缓存 大 小 。 两 命令 中 的 参数 说 明 如 下 。 

G queue-index: 指定 队列 索引 号 ， 取 值 范 围 为 0 一 7。 可 为 接口 的 各 个 队列 配置 缓存 大 小 。 

G@max-length packet-number: 指定 队列 中 可 以 缓存 的 最 大 报 文 个 数 ，S$5700SI 系 列 交 换 机 的 取 值 范 
1~5 134 的 整数 ， 各 S5700LI 和 S5700-LI 系 列 交换 机 的 取 值 范围 是 1 一 3 000 的 整数 。 

(8) green max-length packet-number: 指定 队列 中 可 以 缓存 绿色 报 文 的 最 大 个 数 ， S5700SI 系列 交换 机 的 
取 值 范围 为 1~5 134 的 整数 ，S5700-28P-LI、S5700-52P-LI 和 S5700S-LI 系 列 交 换 机 的 取 值 范围 为 1~3 000 
的 整数 ，S5700-10P-LI、S5700-28X-LI 和 S5700-52X-LI 系 列 交 换 机 的 取 值 范 围 为 1280~3 000 的 整数 。 

(4) non-green max-lengthpacket-number: 指定 队列 中 可 以 缓存 非 绿 色 报 文 的 最 大 个 数 ， 取 值 范围 为 1 280 
一 3 000 的 整数 。 

缺 省 情况 下 ，S5700SI、S5700-28P-LI、S5700-52P-LI 队 列 的 全 部 报 文 最 大 缓存 为 22， 绿 色 报 文 最 大 组 
存 为 11， 可 用 undo qos queue queue-indexmax-length [ packet-number green max-length packet-number | green 
max-length ] 命令 恢复 队列 可 以 缓存 绿色 报 文 的 最 大 个 数 为 缺 省 值 。 

缺 省 情况 下 ，S5700-10P-LI、S5700-28X-LI、S5700-52X-LI 队列 绿色 报 文 最 大 缓存 为 1280， 非 绿色 报 
文 最 大 缓存 为 1280， 可 用 undo qos queue queue-index green max- length [ packet-number ] non-green max- 
length [ packet-number ] 命令 恢复 队列 可 以 缓存 绿色 报 文 的 最 大 个 数 为 缺 省 值 。 

【示例 8】 全 局 名 称 为 test 的 尾 丢 弃 模板 ， 配 置 队列 0 可 以 缓存 的 最 大 报 文 个 数 为 200。 

<HUAWEI>system-view 

[HUAWEI] gos tail-drop-profile test 

[HUAWEI-tail-drop-profile-test] qos gueue 0 max-length 200 

(3) 最 后 在 关闭 接口 或 者 接口 组 的 情况 下 ， 进 入 对 应 的 接口 或 接口 组 视图 使 用 qos tail-drop-profile 
profile-name 命 令 在 接口 或 者 接口 组 下 应 用 指定 的 尾 丢弃 模板 。 

【示例 9】 全 局 创建 名 称 为 test 的 尾 丢 弃 模 板 ， 配 置 队列 1 的 绿色 报 文 最 大 长 度 为 10， 并 在 GE0/0/1 接 口 
下 应 用 该 模板 。 

<HUAWEI>system-view 

[HUAWEI] gos tail-drop-profile test 

[HUAWEI-tail-drop-profile-test] gos gueue 1 green max-length 10 

[HUAWEI-tail-drop-profile-test] quit 

[HUAWEI] interfacegigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] qos tail-drop-profile test 
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11.2.4 流量 监管 和 流量 整形 管理 






































在 完成 流量 监管 和 流量 整形 配置 后 ， 可 以 根据 不 同 机 型 选择 对 应 的 display 任意 视图 命令 查看 流量 监管 
和 流量 整形 配置 ， 或 接口 或 队列 上 的 流量 统计 信息 。 也 可 使 用 以 下 reset 用 户 视图 命令 清除 流量 统计 数据 。 


















































































































































丸 篇 幅 限 制 ， 在 此 就 不 具体 举例 了 。 
1. 在 S2700/3700 系 列 交换 机 中 

(1) 执行 display qos lr outbound interface interface-type interface-number 命 令 可 查看 指定 接口 上 的 速率 限 
制 信息 。 

(2) 执行 reset traffic policy statistics {global [ slot slot-id ] | interface interface-type interface-number | vlan 
vlan-id }inbound 命 令 可 清除 全 局 、 指 定 接口 或 指定 VLAN 下 应 用 的 流 策略 的 统计 信息 。 

(3) 在 S2700-52P-EI2700-52P-PWR-EI/3700SI3700EI 系 列 交换 机 上 执行 reset qos queue statistics 
[queue queue-index { inbound interfaceinterface-type interface-number |outbound interface interface-type interface- 
number [ from interface { interface-type interface-number| all } ] } ] 命令 可 清除 接口 上 基于 队列 的 流量 统计 信 

2. 在 S5700/6700 系 列 交换 机 中 

【说 明 】 在 S5700SI 和 S5700EI 系 列 交 换 机 中 查看 接口 队列 的 整形 参数 之 前 ， 需 要 先 执行 qos queue 
statistics enable 命 令 使 能 对 指定 接口 队列 的 统计 功能 。 

(1) 执行 display traffic policy statistics {global [ slot slot-id ] | interface interface- type interface-number | 





































































































vlan vlan-id } {inbound | outbound } [verbose { classifier-base |rule-base } [ class classifier-name ] ] 命令 可 查看 基 
于 流 的 流量 统计 信息 。 

(2) 在 S5700SI 系 列 交 换 机 中 ， 执 行 display qos queue statistics [queue queue-index outbound interface 
interface-type interface-number ] 命令 可 查看 接口 队列 的 统计 信息 。 

(3) 在 S5700EI 系 列 交 换 机 中 ， 执 行 display qos queue statistics [queue queue-index { inbound interface 
interface-type interface-number | outbound interface interface-type interface-number [ from interface { interface- 
type interface-number | all } ] } ] 命令 可 查看 接口 队列 的 统计 信息 。 

(4) 在 $5700HI5710EI/5700LI5700S-LI6700 系 列 交换 机 上 执行 display qos queue statistics interface 
interface-type interface-number 命 令 可 查看 接口 队列 的 统计 信息 。 

(5) 在 S5700SI 系 列 交 换 机 中 ， 执 行 reset qos queue statistics [queuequeue-indexoutbound interface 
interface-type interface-number ] 命令 可 清除 接口 上 基于 队列 的 流量 统计 信息 。 

(6) 在 S5700EI 系 列 交 换 机 中 ， 执 行 reset qos queue statistics [queue queue-index { inbound interface 
interface-type interface-number | outbound interface interface-type interface-number [ from interface { interface- 
type interface-number | all } ] } ] 命令 可 清除 接口 上 基于 队列 的 流量 统计 信息 。 

(7) 在 S5700HI5700LI5700S-LI5710EI6700 系列 交换 机 上 执行 reset qos queue statistics interface 
interface-type interface-number 命 令 清除 接口 上 基于 队列 的 流量 统计 信息 。 

3. 在 S7700/9300/9300E/9700 系 列 交换 机 中 
(1) 执行 display traffic policy statistics {global [ slot slot-id ] | interface interface-type interface-number 































































































lvlanvlan-id } {inbound |outbound } [verbose {classifier-base |rule-base } [ class classifier-name ] ] 命令 可 查看 基 
于 流 的 流量 统计 信息 。 
(2) 执行 display qos car statistics interface interface-type interface-number inbound 命 令 可 查看 配置 基于 接 
口 的 流量 监管 后 指定 接口 上 通过 和 丢弃 的 报 文 统计 信息 。 
(3) 执行 display qos queue statistics interface interface-type interface-number 命 令 可 查看 接口 上 基于 队列 
的 流量 统计 信息 。 
(4) 执行 reset qos car statistics interface interface-type interface-number inbound 命 令 可 清除 配置 基于 接口 


的 流量 监管 后 指定 接口 上 通过 和 丢弃 的 报 文 统计 信息 。 







































































































































































(5) 执行 reset qos queue statistics interface interface-type interface-number 命 令 可 清除 接口 上 基于 队列 的 
流量 统计 信息 。 

















11.2.5 基于 接口 的 流量 监管 配置 示例 




















本 示例 拓扑 结构 如 图 11-3 所 示 ，Switch 通 过 GE0/0/3 接 口 与 路 由 器 互 连 ， 企 业 分 支 机 构 1 和 企业 分 支 机 构 
2 通过 GE0/0/1 和 GE0/0/2 接 口 接 入 Switch， 经 由 Switch 和 路 由 器 访问 网 络 。 现 要 求 企业 分 支 机 构 1 入 方向 保证 


HH 中 


带宽 为 8Mbit/s， 企 业 分 支 机 构 2 入 方向 保证 带宽 为 5Mbit/s。 
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图 11-3 基于 接口 的 流量 监管 配置 示例 





























本 示例 的 配置 方法 很 简单 ， 就 是 在 Switch 的 GE0/0/1 和 GE0/0/2 接 口 入 方向 配置 流量 监管 。 因 为 在 流量 监 
管 配置 方法 上 S2700/3700/5700/6700 系 列 交换 机 与 S7700/9300/9300E/9700 系 列 是 完全 不 同 的 ， 所 以 下 面 分 别 
介绍 当 Switch 设 备 为 以 上 两 种 情形 下 的 具体 配置 步骤 。 
1. 在 S2700/3700/5700/6700 系 列 交 换 机 上 的 具体 配置 步 又 
S2700/3700/5700/6700 系列 交换 机 上 的 流量 监管 是 在 具体 接口 上 配置 的 ， 具 体 配 置 步骤 如 下 。 
(1) 在 GE0/0/1 接 口 入 方向 上 配置 流量 监管 ， 保 证 带宽 为 8 192kbitls《〈 由 8Mbit/s 转 换 得 到 ) 。 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] qos lr inbound cir 8192 
[Switch-GigabitEthernet0/0/1] quit 
(2) 在 GE0/0/2 接 口 入 方向 上 配置 流量 监管 ， 保 证 带宽 为 5 120kbit/s。 
[Switch] interface gigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] qos lr inbound cir5120 
[Switch-GigabitEthernet0/0/2] quit 

























































































































































































配置 好 后 ， 分 别 利用 display qos lr inbound interface gigabitethernet 0/0/1 和 display qos lr inbound interface 
gigabitethernet 0/0/2 命 令 查 看 两 接口 上 的 流量 监管 配置 信息 ， 验 证 流量 监管 配置 结果 ， 有 具体 如 下 ， 从 输出 信 
息 中 的 粗 体 字 部 分 可 以 看 出 配置 是 正确 的 (cbs 值 是 按照 双 令 牌 桶 时 缺 省 情况 为 125 倍 cir 值 得 到 的 〉。 
[Switch] display qos lr inbound interfacegigabitethernet 0/0/1 


































































































《或 者 具体 VYLAN 视 图 、 流 行为 视图 ) 下 应 用 这 个 CAR 模 板 的。 有 具体 配置 步骤 如 下 。 


GigabitEthernet0/0/1 lr inbound: 

cir: 8192 Kbps, cbs: 1024000 Byte 

[Switch] display qos lr inbound interfacegigabitethernet0/0/2 

GigabitEthernet0/0/2 lr inbound: 

cir: 5120 Kbps, cbs: 640000 Byte 

2. 在 S7700/9300/9300E/9700 系 列 交 换 机 上 的 具体 配置 步 双 

S7700/9300/9300E/9700 系 列 交换 机 中 的 流量 监管 是 先 要 创建 对 应 的 CAR 模 板 ， 然 后 在 具体 接口 视图 

























































































(1) 在 Switch 上 创建 CAR 模 板 carl、car2， 分 别 对 企业 分 支 机 构 1 和 企业 分 支 机 构 2 的 流量 进行 监管 。 
[Switch] qos car carl cir 8192pir 10240 
[Switch] qos car car2 cir 5120 pir 8192 

(2) 在 Switch 的 GE1/0/1、GE1/0/2 接 口 入 方向 上 分 别 应 用 carl1、car2， 对 企业 分 支 机 构 1 和 企业 分 支 机 











构 2 的 流量 进行 监管 。 


出 





[Switch] interface gigabitethernet1/0/1 

[Switch-GigabitEthernet1/0/1] qos car inbound carl 

[Switch-GigabitEthernet1/0/1] quit 

[Switch] interface gigabitethernet1/0/2 

[Switch-GigabitEthernet1/0/2] qos car inbound car2 

[Switch-GigabitEthernet1/0/2] quit 

配置 好 后 ， 可 以 通过 display qos car all 命 令 查 看 CAR 模 板 的 配置 信息 ， 验 证 配置 结果 。 具 体 如 下 ， 从 输 






































































































































信息 中 的 粗 体 字 部 分 也 可 以 看 出 两 接口 上 应 用 的 流量 监管 配置 是 正确 的 。 
































<Switch>display qos car all 


CAR Name :carl 
CAR Index :0 
car cir 8192 (Kbps) pir 10240 (Kbps) cbs 1024000 (byte) pbs 1280000 (byte) 


CAR Name :car2 
CAR Index :1 
car cir 5120 (Kbps) pir 8192 (Kbps) cbs 640000 (byte) pbs 1024000 (byte) 





11.2.6 流量 整形 配置 示例 
































本 示例 拓扑 结构 如 图 11-4 所 示 ，Switch 通 过 GE0/0/2 接 口 与 路 由 器 互 连 ， 来 自 IPnternet 的 业务 有 话音 、 视 


















































频 、 数 据 ， 携 带 的 802.1p 优 先 级 分 别 为 6、5、2〔 假 设 均 在 VLAN 10 中 ) ， 这 些 业 务 可 经 由 路 由 器 和 Switch 
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到 达 用 户 。 由 于 来 自 网 络 侧 的 流量 速率 大 于 LSW 设 备 入 接口 的 速率 ， 所 以 在 Switch 的 出 接口 GE0/0/1 处 可 能 
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图 11-4 流量 整形 配置 示例 拓扑 结构 





现 要 求 在 GE0/0/1 出 接口 上 做 如 下 配置 。 

e 保证 带宽 为 10 000kbit/s。 

e 为 话音 流量 保证 带宽 3 000kbit/s， 峰 值 带 宽 5 000kbit/s。 

e 为 视频 流量 保证 带宽 5 000kbits， 峰 值 带宽 8 000kbits。 

e 为 数据 流量 保证 带宽 为 2 000kbits， 峰 值 带宽 3 000kbits。 

1. 基本 配置 思路 分 析 

以 下 配置 均 是 在 Switch 上 进行 的 。 

(1) 创建 VLAN 10， 并 配置 各 接口 加 入 VLAN 10 中 ， 使 用 户 能 够 通过 Switch 访问 网 络 。 

(2) 配置 GE0/0/1 接 口 信任 报 文 的 802.1p 优 先 级 。 

(3) 配置 基于 GE0/0/1 接 口 的 流量 整形 功能 ， 限 制 端口 带宽 为 10 000kbit/s。 

(4) 配置 端口 队列 整形 功能 ， 限 制 话 音 、 视 频 、 数 据 三 类 业务 符合 示例 中 要 求 的 带宽 。 

2. 具体 配置 步 又 

(1) 创建 VLAN 10。 

<HUAWEI>system-view 

[HUAWEI] sysname Switch 

[Switch] vlan batch 10 

(2) 配置 GE0/0/1、GE0/0/2 接 口 类 型 均 为 trunk 类 型 ， 并 将 它们 都 加 入 VLAN 10 中 。 

[Switch] interface gigabitethernet 0/0/1 

[Switch-GigabitEthernet0/0/1] port link-type trunk 

[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 

[Switch-GigabitEthernet0/0/1] quit 

[Switch] interfacegigabitethernet 0/0/2 

[Switch-GigabitEthernet0/0/2] port link-type trunk 

[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 

[Switch-GigabitEthernet0/0/2] quit 

(3) 创建 VLANIF10， 并 配置 网 段 地 址 10.10.10.1/24。 这 样 做 的 目的 是 通过 VLANIF10 接 口 与 Router 之 
间 建 立 三 层 连接 ， 当 然 需要 在 Router 与 Switch 连接 的 接口 上 配置 与 YLANIF10 同 网 段 的 耳 地 址 ， 如 
10.10.10.2/24。 


[Switch] interface vlanif 10 
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[Switch-Vlanif10] ip address 10.10.10.1 255.255.255.0 
[Switch-Vlanif10] quit 
(4) 配置 GE0/0/1 接 口 信任 报 文 的 802.1p 优 先 级 。 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] trust 8021p 
[Switch-GigabitEthernet0/0/1] quit 
(5) 配置 基于 GE0/0/1 接 口 的 流量 整形 ， 将 端口 速率 限制 在 10 000kbit/s。 
[Switch] interfacegigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] qos lr outbound cir10000 
(6) 在 Switch 的 GE0/0/1 接 口上 配置 端口 队列 整形 ， 使 话音 、 视 频 、 数 据 业 务 的 保证 带宽 分 别 为 3 
000kbit/s、5 000kbits、2 000kbit/s， 峰 值 带 宽 分 别 为 5 000kbits、8 000kbit/s、3 000kbit/s。 
说 明 
这 里 没有 配置 优先 级 与 队列 之 间 的 映射 ， 而 是 直接 采用 缺 省 的 802.1p 优 先 级 与 队 列 之 间 的 一 一 对 应 映 
射 ， 即 0 一 7 802.1p 优 先 级 分 别 对 应 0 一 7 号 队列 。 
[Switch-GigabitEthernet0/0/1] qos queue 6 shaping cir 3000 pir5000 
[Switch-GigabitEthernet0/0/1] qos queue 5 shaping cir 5000 pir8000 
[Switch-GigabitEthernet0/0/1] qos queue 2 Shaping cir 2000 pir3000 
[Switch-GigabitEthernet0/0/1] quit 
配置 成 功 后 ， 从 GE0/0/1 接 口 发 出 的 报 文保 证 速率 不 超过 10 000kbivs; 话音 业务 保证 速率 为 3 
000kbit/s， 不 超过 5 000kbit/s; 视频 业务 保证 速率 为 5 000kbit/s， 不 超过 8 000kbit/s; 数据 业务 保证 速率 为 2 
000kbit/s， 不 超过 3 000kbit/s。 




























































































































































































11.3 拥塞 避免 和 拥塞 管理 的 配置 与 管理 

































































拥塞 避免 通过 指定 报 文 丢 弃 策 略 来 解除 网 络 过 载 ， 拥 塞 管理 通过 指定 报 文 的 调度 次 序 来 确保 高 优先 级 
业务 优先 被 处 理 。 各 S 系 列 交换 机 所 支持 的 拥塞 避免 和 拥塞 管理 功能 参见 第 10 章 10.4 节 。 
注意 
在 对 拥塞 避免 ， 以 及 RED、SRED 和 WRED 技 术 的 支持 上 注意 以 下 几 个 方面 。 
(1) S2700SI 和 S2700EI 系 列 不 支持 拥塞 避免 功能 。 
(2) S5700SI5700LI5700S-LI 系 列 仅 支持 尾部 丢弃 拥塞 避免 方法 。 
(3) S2700-52P-EI/2700-52P-PWR-EI2710SI3700SLI3700EI5700EI 系 列 仅 支持 SRED 技 术 。 
(4) S5700HI5710EI6700/7700/9300/9300E/9700 系 列 仅 支 持 WRED 技 术 。 
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11.3.1 尾部 丢弃 法 拥塞 避免 的 配置 与 管理 















































S5700SI5700LI5700S-LI 系列 交换 机 仅 支 持 尾部 丢弃 的 方法 实现 拥塞 避免 ， 当 队列 的 长 度 达到 最 大 值 
后 ， 所 有 新 入 队列 的 报 文 (缓存 在 队列 尾部 ) 都 将 被 丢弃 。 通 过 增加 端口 队列 的 缓存 大 小 ， 可 以 避免 报 文 
寻 为 不 能 得 到 缓存 而 丢失 流量 。 具 体 配置 步骤 如 表 11-11 所 示 。 
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表 11-11 尾部 丢弃 法 拥塞 避免 配置 步 又 











[| | 


1 svstem-view 
例如 : <HUAWEI> system-view 


quit 

例如 : [HUAWEI-tail-drop-profile- 
test] quit 

Interface interface-type interface- 
number 

例如 : [HUAWEI] interface 
gigabitethernet 0/0/1 


例 加 : [HUAWEI] qos tail-drop- 
profile test 


在 SS700SLS700-28P-LLS700- 
52P-LI 系列 交换 机 中 : 

qs quene quewe-irier max-buffer 
cell-mumber [green max-buffer 
cell-number] 

或 

qos queue gueue-inder green 
max-buffer cell-mmber 

例如 : [HUAWEI-tail-drop-profile- 
tes{] qos queue 0 max-buffer 100 
在 S5700-10P-LUS700-28X-LD 
S5700-S2X-LI 系列 交换 机 中 : 
qos queue queue-inder green 
cellramber 
max-buffercell-mumber 

例如 : EBEUAWEI-tail-drop-profile- 
test] qos queue 0 green max-buffer 
100 non-green max-buffer 10 


在 SS700SLS700-38P-LLS700- 


max-length packet-number 
例如: [HUAWEI-tail-drop-profile- 
test]qos queue 0 max-length 200 
在 SST00-10P-LDS7002SX-LL 
5700- 52X-LI 系列 交换 机 中 : 
qos qmete green mar-length 
packet-number non-green InaX- 
length packet-mmber 

例如 : [HUAWETI-tail-drop-profile- 
testlqos queue 0 max-lensth 
200 non-green max-length 10 


进入 系统 视图 


创建 尾 于 充 模板 ， 并 进入 尾 琶 弃 模板 视图 。 参数 用 来 
Profile-name 用 来 指定 尾 竺 弃 模 板 和 名称， 为 1 一 16 个 字符 ， 
不 支持 空格 ， 不 区 分 大 小 写 ， 但 定义 的 模板 数量 不 能 超过 
了 个 ， 否 则 系统 会 报错 

配置 指定 队列 的 全 部 报 实 的 最 大 缓存 或 绿色 报 文 的 最 大 
缓存 。 命 令 中 的 参数 说 明 如 下 。 

(1) queue-index， 指定 队列 宗 引号 ， 玛 利 范 围 为 0 一 7 的 整数 
(2) max-buffer cell-number: 指定 队列 中 全 部 报 文 的 最 大 
缓存 字 节 数 ,单位 是 cell, 一 个 cell 的 大 小 为 128 个 字 节 。 
不 同系 列 的 取 值 范围 不 一 样 :S5700SI 系 列 取 值 范围 为 1 一 
5444 的 整数 ，S5700-28P-LI5700-52P-LIS700S-LI 系列 的 
取 值 范围 为 1 一 3100 的 整数 ，S5700-10P-LL5700-28X- 
L5700-52X-LI 系列 的 取 值 范围 为 1 920 一 3 100 的 蔓 数 
(3) green max-buffer cejLrmonber: 指定 队列 中 绿色 报 文 的 最 大 
绥 存 宁 节 数 , 单位 也 是 cell, 到 值 范围 同 max-buffer callyzanber 
(4) non-green max-buffer cell-numbear， 指 定 队列 中 可 以 
缓存 非 绿色 报 文 的 最 大 字 节 数 ， 单 位 也 是 cell， 取 值 范围 
为 1920 一 3 100 的 整数 

缺 省 情况 下 ，S5700SIS700-28P-LIS700-52P-LI 系列 交换 
机 队列 药 全 部 报 文 最 大 缓存 为 24， 即 色 报 文 最 大 缓存 为 
12， 单 位 是 cel; 馈 省 情况 下 ，S5700-10P-LY5700- 
28X-LL5700-52X-ILI 系列 交换 机 疏 列 绿色 报 文 最 大 缓存 为 
1 280， 非 绿色 报 文 最 大 缓存 为 1 280， 单 位 是 cell， 可 用 
对 应 的 wndo 格式 命令 进行 恢复 

配置 指定 队列 可 以 缓存 的 全 部 报 文 最 大 数 或 者 可 以 缓存 
的 绿色 报 文 的 最 大 数 。 命 令 中 的 参数 说 明 如 下 。 

(1) queue-index， 指定 队列 索引 号 ， 取 值 范围 为 0~7 的 
整数 

(2) max-length packet-mumber: 指定 队列 中 可 以 缓存 全 部 
报 文 的 最 大 个 数 。S3700SI 系 死 的 取 值 范围 为 1 一 5 134 的 
整数 ，S5700LL5700S-LI 系列 的 取 值 范围 为 1 一 3 000 

(3) green max-length packet-mimber: 指定 队列 中 可 以 组 
在 绿色 报 文 的 最 大 个 数 。S5700SI 系列 的 取 值 范围 是 1 一 
5 134 的 整数 , S3700-28P-LI5700-52P-ILI5700S-LI 系列 的 
取 值 范围 为 1 一 3 000 的 整数 ，S5700-10P-LEW5700-28X- 
ILS700-52X-LI 系列 的 取 值 范围 为 1280 一 3 000 的 整数 
(4) non-green max-length packet-number: 指定 队列 中 可 
以 绥 存 非 绿 色 报 文 的 最 大 个 数 ， 取 和 值 范 围 为 1280 一 3 000 
的 整数 

缺 省 情况 下 ，S5700SIS700-28P-LI5700-52P-ILI 系列 交换 
机 队列 势 全 部 报 文 最 大 缓存 为 22， 妈 色 报 文 最 大 组 存 为 
11; S3700-10P-LI5700-28X-ILI5700-52X-LI 系列 交换 机 也 
列 绿色 报 文 最 大 缓存 为 1280， 非 绿色 报 文 最 大 缓存 为 
1280， 可 用 对 应 的 mndo 格式 命令 进行 恢复 


退出 尾 丢 弃 模 板 视图 ， 返 回 系统 视图 


键入 要 配置 尾部 丢弃 方法 拥塞 避免 功能 的 接口 , 进入 接口 
视图 





shutdown 


例如 


GigabitEthernet0/0/1] shutdown 


1: [HUAWEI- 


关闭 以 上 接口 





qos tail-drop-profile profile-name 


例 妇 


GigabitEthernet0/0/1] qos 
tail-drop-profile test 


1: [HUAWEI- 


在 接口 下 应 用 以 上 配置 的 尾 丢 弃 模 板 (必须 在 接口 关闭 状 
态 下 应 用 )。 缺 省 情况 下 ， 接 口 下 没有 应 用 任何 尾 丢 弃 模 
板 ， 可 用 undo qos tail-drop-profile 命令 删除 在 接口 下 应 
用 的 尾 丢 弃 模 板 








undo shutdown 


例如 


GigabitEthernet0/0/1] 
undo shutdown 


1: [HUAWEI- 





打开 接口 (应 用 尾 丢 弃 模板 后 必须 重新 开启 接口 ， 使 配置 
生效 ) 








【示例 1】 在 全 局 下 创建 模板 名 称 为 test 的 尾 丢 弃 模 板 ， 配 置 队列 0 的 最 大 报 文 缓存 为 100。 
<HUAWEI> system-view 
[HUAWEI] gos tail-drop-profile test 
[HUAWEI-tail-drop-profile-test] qos queue Omax-buffer100 








( 续 表 ) 





【示例 2】 在 全 局 下 创建 模板 名 称 为 test 的 尾 



































GE0/0/1 接 口 下 应 用 该 模板 。 
<HUAWEI>system-view 
[HUAWEI] gos tail-drop-profile test 
[HU 
[HUAWEI-tail-drop-profile-test] quit 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] shutdown 
[HU 
[HU 
配置 好 后 可 在 任意 视 





















































接 














interface interface-type interface-number 任 意 视图 


queue statistics [queue queue-index outbound interface interface-type interface-number ] 任意 视图 命令 查看 接 














基于 队列 的 流量 统计 信息 。 





























11.3.2 SRED 拥 寨 避免 的 配置 与 管 


理 
























































免 功能 。 设 备 根据 SRED 的 配置 信息 对 不 同 
整 从 接口 输出 的 流量 速 
在 配置 SRED 拥 
































避免 功能 之 








用， 


这 






























































需 在 报 文 的 入 接口 
接 采 用 缺 省 的 优先 级 与 PHB 行 为 /颜色 映射 配置 ) ， 作 为 拥 备 





二 


弃 模板 ， 


AWEI-GigabitEthermet0/0/1] qos tail-drop-profile test 
AWEI-GigabitEthermet0/0/1] undo shutdown 


图 下 执行 display qos configuration interface interface-type interface-number 命 令 


人 人 
命令 








在 S2700-52P-EI1/2700-52P-PWR-EI/2710SI/3700S1/3700E1/5700EI 系 列 交 换 机 仅 支 持 SRED 方 法 的 拥 





完成 以 下 任务 之 一 为 报 文 着 色 (当然 ， 也 可 直 


Efi 


配置 队列 1 的 绿色 报 文 最 大 长 度 为 10， 并 在 














AWEI-tail-drop-profile-test] qos queue 1 green max-length 10 


查看 








口上 所 有 的 QoS 配置 信息 。 在 S5700LI5700SI5700S-LI 系 列 交换 机 上 执行 display qos queue statistics 
查看 接口 上 基于 队列 的 流量 统计 信息 ; 执行 display qos 

















口上 
































避 





颜色 的 报 文 按 照 一 定 的 丢弃 概率 主动 丢弃 队列 中 的 报 文 ， 从 而 调 

































































































































































e。 配置 基于 ACL 的 简单 流 分 类 的 流量 监管 ， 将 报 文 的 优 # 
9.6.3 节 

e 配置 基于 复杂 流 分 类 的 流量 监管 和 重 标 记 ， 

SRED 拥 塞 避 免 功 能 的 配置 任务 包括 以 下 3 个 方面 。 

1. (可 选 ) 配置 接口 队列 缓存 

配置 接口 队列 的 缓存 大 小 ， 确 保 该 队列 有 足够 可 用 的 缓 ; 
流量 。 但 在 接口 上 配置 接口 队列 缓存 前 需要 使 用 shutdown 命 














shutdown 命 令 打 开 接口 ， 此 操作 过 程 可 能 会 引 
2 











VLAN 标 签 中 的 CFI (Canonical Format Indicator， 规 3 




















避免 操作 的 依据 。 





今 


E 级 映射 为 PHB 行 为 并 着 色 ， 





本 书 第 9 章 





具体 将 在 本 章 后 面 11.4 节 介绍 。 








' 区 ， 可 以 避免 报 文 因 为 不 能 得 到 绥 存 而 丢失 
关闭 接口 ， 配 置 完成 后 ， 再 使 用 


























undo 

















起 网 络 的 短暂 ! 





(可 选 ) 配置 CFI 作 为 内 部 丢弃 优先 级 














Indicator， 丢 弃 资 格 指示 器 ) 。 在 某 些 情况 下 |) 
信息 速率 ) 时 会 将 报 文 的 DEI 位 置 1， 
位 为 1 的 报 文 。 如 果 多 个 接口 
工作 。 
3. 配置 SRED 参 数 

在 接口 出 队列 上 ，SRED 根据 报 文 的 优先 
起 始 丢 包 点 和 丢 包 率 ， 从 而 实现 拥塞 避免 。 
在 配置 基于 SRED 的 扩 

























































































标识 该 报 文 的 丢弃 人 
需要 配置 CFI 作 为 内 部 丢弃 优先 级 ， 可 通过 端 


避免 时 ， 对 0 一 4 队列 设置 红 














级 将 其 


证 格式 指示 器 ) 字段 又 称 为 DEI (Drop Eligible 
来 标识 报 文 的 丢弃 优先 级 ， 某 些 设备 在 报 文 超出 CIR〈 承 诺 
i 先 级 为 高 ， 后 续 设 备 在 寺 

















塞 的 时 候 优先 丢弃 DEI 
配置 ， 以 减少 重复 配置 




















口 组 进行 





























[ 色 、 黄 色 ， 并 分 





别 为 红色 和 黄色 的 报 文 设 定 















































色 的 丢 包 点 和 丢弃 率 起 作用 ， 设 置 黄色 的 丢 包 点 和 


丢 包 率 不 起 作用 ; 对 5 一 7 队列 设置 黄色 的 丢 包 点 和 丢 包 率 起 作用 ， 设 置 红色 的 丢 包 点 和 丢 包 率 不 起 作用 。 
以 上 配置 任务 的 具体 配置 步 又 如 表 11-12 所 示 。 












































表 11-12 SRED 方 法 拥塞 避免 配置 步骤 











System-view 
例如 : <HUAWEI> 进入 系统 视图 
system-view 


interface interface-type 


interface-number 键入 要 配置 SRED 方法 拥塞 避免 功能 的 接口 ， 进 入 


例如 : [HUAWEI] 接口 视图 
interface gigabitethemet 0/0/1 
shutdown 
Ry 例如 : [HUAWEI- 
(可 选 》 GigabitEthernet0/0/1] 
配置 端口 shutdown 
队列 长 度 配置 接口 指定 队列 的 静态 缓冲 区 字 节 数 。 命 令 中 的 
参数 说 明 如 下 。 
qos queue queue-index (1) queue-index: 指定 队列 的 索引 号 ， 取 值 范围 0 一 7 的 整 
static-cell cell-number 数 
4 例如 : [HUAWEI- (2) cell-number: 指定 静态 缓冲 区 的 大 小 ， 取 值 范 
GigabitEthemet0/0/1] qos 围 为 1 一 16 140 的 整数 , 单位 是 cell, 一 个 cell 的 大 
queue 1 static-cell 1000 小 为 128 字 节 。 缺 省 值 是 27， 可 用 undo qos queue 
qtteue-index static-cell 命令 恢复 接口 指定 队列 静态 
缓冲 区 字 节 数 为 缺 省 值 





关闭 以 上 接口 











( 续 表 ) 


说 明 





(可 选 》 
配置 端口 
队列 长 度 


gos queue queue-index 
max-length 
packet-number 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] qos 
queue 1 max-length 100 


undo shutdown 
例如 : [HUAWEI- 
GigabitEthemet0/0/1] 
undo shutdown 


配置 队列 最 大 缓存 的 报 文 数 。 上 步 配 置 的 最 大 字 节 数 
和 本 步 配置 的 最 大 报 文 数 只 要 有 一 个 被 占 满 ， 则 认为 
网 络 发 生 拥 塞 ， 后 续 报 文 开 始 丢弃 。 命 令 中 的 参数 说 
明 如 下 。 

(1) guere-index: 指定 队列 的 索引 号 ，S3700/5700 系列 
的 取 值 范围 0 一 7，S2700 系列 的 取 值 范围 为 0 一 3 

(2) packet-number: 配置 接口 指定 队列 可 以 缓存 报 文 
的 最 大 报 文 个 数 ， 取 值 范围 为 5 一 2 007 

缺 省 情况 下 ， 队 列 0 可 以 缓存 报 文 的 最 大 报 文 个 数 是 
1 044， 其 他 队列 可 以 缓存 报 文 的 最 大 报 文 个 数 是 143， 
可 用 undo qos queue gueue-index max-length 命令 恢复 
队列 可 以 缓存 报 文 的 最 大 报 文 个 数 为 缺 省 值 





打开 接口 





(可 选 ) 配 
置 CFI 作 
为 内 部 丢 
弃 优 先 级 


dei enable 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
dei enable 


配置 CFI 作为 内 部 丢弃 优先 级 。 缺 省 情况 下 ，VLAN 
中 DEI 字段 映射 为 丢弃 优先 级 的 功能 未 使 能 ， 可 用 
undo dei enable 命令 去 使 能 将 VLAN 中 的 DEI 字段 映 
射 为 丢弃 优先 级 功能 





quit 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] quit 





退出 接口 视图 ， 返 回 系统 视图 





【示例 1】 配 置 GE0/0/1 接 





<HUAWEI> system-view 
[HUAWEI]| interfacegigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] qos queue 0 static-cell 15 

【示例 2】 配 置 接口 GE0/0/1 队 列 0 可 以 缓存 报 文 的 最 大 报 文 个 数 为 155。 
<HUAWEI> system-view 
[HUAWEH interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] qos queue Omax-length 155 


【示例 3】 在 系统 视图 








下 配置 队列 号 为 0 的 纪 


始 丢 包 点 为 20， 丢 弃 概 率 为 4。 
<HUAWEI>system-view 
[HUAWEH qos sred queue 0 red 10 discard-probability 5 yellow 20discard-probability 4 








qos sred queue 
queue-index red 
start-discard-point 
discard-probability 
discard-probability 
yellow start-discard-point 
discard-probability 
discard-probability 
例如 : [HUAWEI]qos 
sred queue | red 10 
discard-probability 5 
yellow 20 discard- 
probability 4 





配置 队列 的 SRED 赣 值 和 丢弃 概率 。 命 令 中 的 参数 说 
明 如 下 。 
(1) gqueue-index: 指定 队列 的 索引 号 
(2) start-discard-point: 表示 开始 丢弃 报 文 的 报 文 序号 ( 即 
起 始 竺 包 点 )， 取 值 范 围 为 4~~2 047 的 整数 
(3) discard-probability， 表示 报 文 丢弃 的 概率 ， 取 值 范 
围 是 0 一 7 的 整数 ， 分 别 对 应 以 下 百分比 。 
0: 100% 

: 6.25% 

: 3.125% 
3: 1.562 5% 

: 0.781 25% 

: 0.390 625% 

: 0.195 312 5% 
7: 0.097 656 25% 
每 个 队列 都 有 各 自 的 拥塞 避免 参数 ， 
个 队列 重复 执行 本 步骤 
缺 省 情况 下 ， 出 方向 队列 上 没有 配置 SRED 阐 值 和 丢弃 
概率 , 可 用 undo qos sred queue quene-index 命令 取消 出 
方向 队列 上 配置 的 SRED 阔 值 和 丢弃 概率 





因此 需要 针对 每 





口 队列 0 的 静态 缓冲 区 大 小 为 15。 











配置 好 后 ， 可 在 任意 视图 

















率 ; 执行 display qos configuration interface interface-type interface-number 命 令 








接口 上 所 有 的 QoS 配置 信息 





o 


LE 





【示例 4】 显 示 设 备 当 


且 


接口 出 方向 队列 的 全 





[ 色 报 文 的 起 始 丢 包 点 为 10， 于 弃 概率 为 5; 黄色 报 文 的 起 


下 执行 display qos sred 命 令 查 看 队列 上 红色 和 黄色 报 文 的 起 始 丢 包 点 和 丢弃 概 
(本 命令 已 在 上 节 介绍 ) 查看 





全 全 











局 SRED 配 置 。 














<HUAWEI> display qos sred 

Current sred configuration: 

qos sred queue-index 1 red 10 discard-probability 2 yellow 10 discard-probability 1 
qos sred queue-index 2 red 10 discard-probability 2 yellow 10 discard-probability 1 
































11.3.3 WRED 拥 塞 避免 的 配置 与 管理 





























= 








塞 避 人 免 功 能 。 配 置 好 后 ， 





在 S5700HI/5710E1/6700/7700/9300/9300E/9700 系 列 交 换 机 中 支持 WRED 方 法 















































设备 将 根据 WRED 的 配置 信息 对 不 同 颜色 的 报 文 进行 相应 的 处 理 。 但 在 配置 拥塞 避免 前 需 在 报 文 的 入 接 





























上 将 报 文 的 优先 级 映射 为 PHB 行 为 《参见 10.5.6 节 ) ， 作 为 拥塞 避免 操作 的 依据 







































































《当然 ， 也 可 直接 采用 缺 








省 的 优先 级 与 PHB 行 为 /颜色 映射 配置 ) 。 且 WRED 方 法 拥塞 避免 功能 只 对 已 知 单 播 流量 生效 。 








WRED 方 法 拥塞 避免 功能 的 配置 方法 与 上 节 介 绍 的 SRED 方 法 拥塞 避免 功能 的 配置 方法 有 些 相 似 ， 也 包 





括 以 下 3 项 配置 任务 。 
1. 《可 选 ) 配置 端口 队列 长 度 

















通过 配置 接口 队列 的 缓存 大 小 ， 确 保 该 队列 有 足够 可 用 的 缓冲 区 ， 可 以 避免 报 文 因为 不 能 得 到 











缓存 而 






























































shutdown 命 令 打开 接口 ， 此 操作 过 程 可 能 会 引起 网 络 的 短暂 中 断 。 
2. (可 选 ) 配置 CFI 作 为 内 部 丢弃 优先 级 






































丢失 流量 。 但 在 接口 上 配置 接口 队列 缓存 前 需要 使 用 shutdown 命令 关闭 接口 ， 配 置 完 成 后 ， 再 使 用 undo 





VLAN 标 签 中 的 CFI 字 段 在 某 些 情况 下 用 来 标识 报 文 的 丢弃 优先 级 ， 某 些 设 备 在 报 文 超出 CIR“〈 承 库 信 



































恩 速率 ) 时 会 将 报 文 的 DEI 位 置 1， 标 识 该 报 文 的 丢弃 优先 级 为 高 ， 后 续 设 备 在 拥塞 的 时 候 优先 丢弃 DEI 位 

















为 1 的 报 文 。 如 果 多 个 接口 需要 配置 CFI 作 为 内 部 丢弃 优先 级 ， 可 通过 端口 组 进行 配置 ， 以 减少 重复 配置 




















作 。 
3. 配置 WRED 于 弃 模 板 
WRED 技术 也 是 通过 随机 丢弃 报 文 来 避免 TCP 的 全 局 同步 现象 ， 它 通过 报 文 



































的 不 同 颜色 来 区 分 丢弃 策 























略 ， 考 虑 了 高 优先 级 报 文 的 利益 并 使 其 被 丢弃 的 概率 相对 较 小 。 通 过 丢 弃 模板 可 以 配置 不 同 颜色 的 报 文 引 














弃 门 限 百分比 和 最 大 丢弃 概率 。 
4. 应 用 WRED 天 弃 模板 
































设备 支持 在 全 局 、 接 口 、 端 口 队列 上 应 用 WRED 丢 弃 模 板 ， 可 根据 需要 配置 其 中 一 种 或 多 种 。 如 果 在 
全 局 〈 全 局 应 用 等 效 于 在 所 有 接口 上 应 用 ) 和 接口 上 同时 应 用 了 WRED 模 板 ， 以 接口 上 应 用 的 模板 为 准 ; 
























































如 果 同 时 在 接口 、 端 口 队列 应 用 了 WRED 丢 弃 模 板 ， 系 统 按 照 先端 口 队列 后 接口 的 顺序 依次 匹配 报 文 流 ， 









































然后 依次 对 匹配 WRED 天 弃 模 板 的 报 文 流 进行 拥塞 避免 控制 。 
以 上 4 项 配置 任务 的 具体 配置 步骤 如 表 11-13 所 示 。 







































































表 11-13 WRED 方 法 拥塞 避免 配置 步 又 











system-view 


例如 : <HUAWEI> 进入 系统 视图 

system-view 

interface interface-fype 

interface-number 键入 要 配置 WRED 方法 拥塞 避免 功能 的 接口 ， 进 
例如 : [HUAWEI] interface | 入 接口 视图 

gigabitethernet 0/0/1 


shutdown 

例如 : [HUAWEI- \ 上 

GigabitEthernet0/0/1] 关闭 以 上 接口 
(可 选 ) shutdown 


配置 端口 配置 接口 优先 级 队列 的 长 度 . 命令 中 的 参数 说 明 如 下 。 
队列 长 度 (1) queue-index: 指定 队列 的 索引 号 
05 qnene gMeME ee | (2)1ength-vaiue: 指定 队列 的 长 度 , 取 值 范围 为 0 一 
人 1 000 000 000 的 整数 ， 单 位 是 bytel 
Cc i ,| 缺 省 情况 下 ， 系 统统 一 自动 管理 各 接口 的 优先 
ge 0m 级 队列 长 度 ， 可 用 undo qos queue queue-index 
TE length 命令 取消 指定 接口 队列 上 的 优先 级 队列 
长 度 配置 


undo shutdown 

例如 : [HUAWEI- 
GigabitEtheret0/0/1] | 打开 接口 
undo shutdown 


dei enable 配置 CFI 作 为 内 部 丢弃 优先 级 . 缺 省 情况 下 ,VLAN 
例如 : [HUAWEI- 中 DEI 字段 映射 为 丢弃 优先 级 的 功能 未 使 能 , 可 用 
GigabitEthernet0/0/1] undo dei enable 命令 去 使 能 将 VLAN 中 的 DEI 字 
dei enable 段 映射 为 丢弃 优先 级 功能 


quit 
例如 : [HUAWEI- 退出 接口 视图 ， 返 回 系统 视图 
GigabitEthernet0/0/1] quit 


创建 WRED 丢弃 模板 ， 并 进入 丢弃 模板 视图 。 估 
数 用 来 指定 WRED 丢弃 模板 名 称 ， 为 1 一 31 个 字 
符 ， 不 支持 空格 ， 不 区 分 大 小 写 

缺 省 情况 下 ， 系 统 存在 一 个 名 为 default 的 WRED 


drop-profile 
drop-profile-name 


例如 [EUAWEI 丢弃 模板 ， 且 只 能 修改 其 参数 ， 不 能 删除 ， 可 用 


pp undo drop-profile drop-profile-name 命令 删除 指定 


的 WRED 丢弃 模板 





( 续 表 ) 


说 明 


WRED 


color { green | non-tcp | 
red | yellow } low-limit 
low-limit-percentage 
high-limit 
high-limit-percentage 
discard-percentage 
discard-percentage 
例如 : [HUAWEI-drop-dropl] 
color green low-limit 80 
high-limit 100 
discard-percentage 10 





应 用 
WRED 
丢弃 模板 









quit 请 i = 所 
例如 ; [HUAWELdrop- en 
dropl] quit ss i nina 









配置 WRED 丢弃 模板 的 参数 ， 包 括 丢弃 门限 百 
分 比 和 最 大 丢弃 概率 。 命 令 中 的 参数 和 选项 说 
明 如 下 。 

(1) green: 多 选 一 选项 ， 指 定 针对 绿色 报 文 配置 
WRED 参数 

(2) non-tep: 多 选 一 选项 ， 指 定 针对 非 TCP 报 文 
(3) red: 多 选 一 选项 ， 指 定 针对 红色 报 文 配置 
WRED 参数 

(4) yellow: 多 选 一 选项 ， 指 定 针对 黄色 报 文 配置 
WRED 参数 

(5) owl-limit-percentage: 指定 WRED 丢弃 的 下 限 
百分比 ， 即 当 队 列 中 的 报 文 长 度 占 队列 长 度 达 到 
此 百分比 时 ， 开 始 进行 WRED 丢弃 ， 取 值 范 围 为 
0 一 100 的 整数 ， 缺 省 值 为 100 

(6) high-limit-percentage : 指定 WRED 丢弃 的 上 
限 百 分 比 ， 即 当 队 列 中 的 报 文 长 度 占 队列 长 度 达 
到 此 百分比 时 ， 开 始 丢 弃 所 有 新 收 到 的 报 文 ， 取 
值 范围 为 参数 low-limit-percentage 一 100 的 整数 ， 
缺 省 值 为 100 

(7) discard-percentage: 指定 WRED 的 最 大 丢弃 
概率 ， 取 值 范围 为 1 一 100 的 整数 ， 缺 省 值 为 100 
缺 省 情况 下 ，WRED 丢弃 模板 的 高 低 门 限 百 分 比 
以 及 最 大 丢弃 概率 的 取 值 均 为 100， 可 用 undo 
color { green | non-tcp | red | yellow } 命令 恢复 对 
应 类 型 报 文 的 WRED 丢弃 模板 参数 为 缺 省 值 



























qos queue queue-index 
wred drop-profile-name 
例如 ; [HUAWEI]qos 
queue 1 wred dropl 





| 将 WRED 丢弃 模板 应 用 









于 交换 机 上 所 有 端口 的 
指定 队列 上 .命令 中 的 参 
数 说 明 如 下 。 

(1) queue-index: 指定 要 
应 用 WRED 丢弃 模板 的 
所 有 端口 的 队列 索引 号 ， 可 选择 ] 
取 值 范围 为 0~7 的 整数 | 在 全 局 应 
(2) drop-profile-name: 用 WRED 多 种 应 用 
指定 要 在 所 有 端口 的 指 | 丢弃 模板 方式 
定 队列 上 应 用 的 WRED 
丢弃 模板 的 名 称 ,为 1 一 
31 个 字符 ， 区 分 大 小 写 
缺 省 情况 下 ， 端 口 队列 
上 没有 应 用 WRED 丢弃 
模板 ， 可 使 用 undo qos 
queue queue-index wred 
命令 删除 在 全 局 端口 队 
列 应 用 的 WRED 丢弃 






























说 明 




















interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
gigabitethernet 1/0/1 


| 


键入 要 应 用 WRED 丢 
弃 模 板 的 具体 接口 ， 进 


入 接口 视图 在 接口 应 





qos wred drop-profile-name 
例如 : [HUAWEI- 
GigabitEthernet1/0/1] 

qos wred dropl 


用 WRED 
丢弃 模板 | 可 选择 其 
中 一 种 或 
多 种 应 用 


将 WRED 丢弃 模板 应 
用 于 接口 上 所 有 队列 





gqos queue queue-index 
WwWred drop-profile-name 
例如 : [HUAWEIL- 
GigabitEthernet1/0/1]qos 
queue 1 wred dropl 








轿 式 一 
在 接口 队 

列 应 用 

WRED 丢 

弃 模板 


将 WRED 丢弃 模板 应 
用 于 指定 端口 的 指定 
队列 上 





( 续 表 ) 


S5710EI 不 支持 配置 接口 优先 级 队列 的 长 度 。 另 外 ， 以 下 单 板 不 允许 修 改 队列 长 度 ， 缺 省 支持 最 大 队 


列 长 度 。 





(1) S7700 系 列 交换 机 的 ES1D2G48SBC0 昌 
ES2D2X08SED5 单 板 和 ES1D2L02QFC0 单 板 。 
(2) S9300 系 列 交 换 机 的 LE0DG48SBCO00 自 





















































LE2D2X08SED5 单 板 、LE1D2L02QFC0 单 板 和 WAN 单 板 。 





(3) S9300E 系 列 交 换 机 
LH2D2L02QFC0 单 板 和 WAN 单 板 。 














的 LE0DG48SBC00 单 板 、LE0DG48TBC00 单 板 、LH2D2X08SED4 单 


板 、ES1D2G48TBC0 单 板 、ES2D2X08SED4 单 



































板 、LE0DG48TBC00 单 板 、LE2D2X08SED4 单 板 、 





























(4) S9700 系 列 交 换 机 的 EH1D2G48SBC0 单 板 、EH1D2G48TBC0 单 板 、EH1D2X08SED4 单 板 、 
EH2D2X08SED5 单 板 、EH1D2L02QFC0 单 板 和 WAN 单 板 。 





【示例 】 配 置 WRED 于 弃 模 板 wred1， 
































40%， 于 弃 上 限 为 60%， 最 大 丢弃 概率 为 40%。 


<HUAWEI> system-view 

[HUAWEI] drop-profile wred1 
[HU 
[HU 


其 中 绿色 报 文 的 丢弃 下 限 为 809%， 天 弃 上 F 
概率 为 10%; 黄色 报 文 的 丢弃 下 限 为 60%， 丢 弃 上 限 为 80%， 最 大 丢弃 概率 为 20%; 多 





民 为 100%， 最 大 丢弃 
[ 色 报 文 的 丢弃 下 限 为 














AWEI-drop-wred1] color green low-limit 80high-limit 100discard-percentage 10 
AWEI-drop-wred1] color yellow low-limit 60 high-limit 80discard-percentage 20 


[HUAWEI-drop-wred1] color red low-limit 40high-limit 60discard-percentage 40 





锅 


























配置 好 后 ， 可 在 任意 视 

















下 执行 display drop-profile [all |name drop-profile-name ] 命令 查看 WRED 丢弃 





模板 的 配置 信息 ;可 执行 display qos configuration interface interface-type interface-number 命 令 〈 已 在 本 章 前 








看 介绍 ) 查看 指定 接口 




















上 所 有 的 QoS 配置 信息 。 














11.3.4 配置 S2700EI 系 列 交换 机 的 # 








j 塞 管理 








拥塞 管理 功能 实际 上 就 是 一 个 端 
制定 的 调度 策略 决定 报 文 转发 时 的 处 理 次 序 ， 以 达到 高 优先 级 报 文 优先 被 调 
包括 WRR、PQ+WRR。 











照 
只 


个 

















机 支持 的 端口 对 列 调度 方式 
S2700EI 系 列 交 换 机 支持 4 个 端 























口 队列 调度 功能 。 








配置 拥塞 管理 后 ， 当 网 








络 中 发 生 拥 塞 时 ， 设 备 将 按 
度 的 目的 。S2700EI 系 列 交换 





























队列 ， 不 同 的 队列 











接 
S2700EI 系列 交换 机 中 的 队列 





weight 命 令 指定 端 








缺 省 
度 的 某 个 或 某 些 

















度 完成 后 ， 





度 。PQ 队 列 调 




















周 度 功能 配置 方法 是 在 系统 视 





可 以 采 
WRR 时 ， 用 户 可 为 每 个 队列 配置 权重 ，S2700 根据 权重 轮 特 调 
个 PQ 队列 按 优先 级 高 低 顺 序 进行 谓 
站 需要 配置 相同 的 队列 调度 参数 ， 可 通过 端口 组 进行 配置 ， 











不同 的 队列 调度 算法 。 当 调度 模式 配置 为 
度 各 队列 。 队 列 调度 时 ， 先 调度 PQ 队列 ， 多 
和 对 WRR 队列 进行 加 权 轮 循 调度 。 如 果 多 个 
以 减少 重复 配置 工作 。 

图 下 使 用 










































































qos queue queue-index wIT weight 

















口 队 列 WRR 调 度 的 权 值 。 命 令 中 的 参数 说 明 如 
(1) queue-index: 指定 要 配置 队列 
(2) weight: 指定 对 应 队列 的 权重 值 ， 








调度 功能 的 端 


























可 





Ls 
和 值 1。 如 












































为 0) ， 说 明 该 队列 以 PQ 方式 调度 ， 











此 时 整体 调 





【示例 】 配 置 队 列 1 的 WRR 权 值 为 9。 


<HUAWEI> system-view 

















[HUAWEI] gos queue 1wrr weight 9 




















11.3.5 配置 其 他 S 系 列 交 换 机 的 所 


塞 管理 






































口 队 列 索 引号 ， 取 值 范 
取 值 范围 为 0 一 55， 权 重 值 越 高 ， 越 优先 被 调度 。 
情况 下 ，WRR 调 度 方 式 的 队列 权重 为 
队列 的 WRR 权 值 为 缺 汽 





下 。 





围 为 0 一 3 的 整数 。 





J 用 undo qos queue queue-indexwr 命 令 恢 复 参 与 VRR 调 
果 设 置 某 队 列 权 值 为 0〈 只 
度 方 式 为 PQ+WRR。 





有 队列 2 和 队列 3 的 权重 可 以 设置 





除 S2700EI 系 列 交 换 机 外 ， 甚 他 华为 $ 系 列 交换 机 均 支 持 8 个 端 





* 国 











项 


后 ， 















































引 度 算法 。 队 列 调度 时 ， 先 调 
再 对 WRR 或 DRR 队 列 进行 加 权 轮 
进行 配置 ， 以 减少 重复 配置 工作 。 但 在 配置 # 














可 




















循 调 























队列 ， 不 同 的 队列 可 以 采 / 

















度 。 如 果 多 个 接口 需 




















PHB 行 为 ， 参 见 本 章 11.1.4 节 。 

















Ba 


体 的 配置 步骤 


























TE 


息 ， 可 执行 display qos queue statistics interface interface-type interface-number 命 令 查 看 接 


E 本 章 前 面 均 有 介绍 ， 不 再 次 述 。 


统计 信息 。 这 两 个 命令 




















为 不 同 $ 系 列 又 有 所 不 























司 ， 下 在 














分别 予 以 介绍 。 配 置 好 后 ， 


display qos configuration interface [ interface-type interface-number ] 命令 查看 指定 接 


要 配置 相同 的 队列 调 
塞 管理 之 前 ， 需 在 报 文 的 入 接口 上 将 报 文 的 优先 级 映射 





j 不 同 的 队列 
度 PQ 队列 ， 多 个 PQ 队列 按 优先 级 高 低 顺序 进行 调度 。PQ 队 列 调度 完成 

















本 








度 参数 ， 可 j 














通过 端口 





组 
为 





















































上 所 有 的 QoS 配 



































1. S2700-52P-E1/2700-52P-PWR-E12710S13700S1/3700EW5700HI/5710ELS6700 系 列 




















的 配置 步骤 比较 简单 ， 








表 11-14 S2700-52P-EI2700-52P-PWR-EI2710SI3700SI3700EI 系 列 交换 机 的 拥塞 管理 配 


在 S2700-52P-E1/2700-52P-PWR-EI/2710SI/3700S1/3700E1/5700HI/5710E1/S6700 系 列 交 换 机 
L 体 如 表 11-14 所 示 。 


可 在 任意 视图 下 执行 


上 基于 队列 





Sa 人 
已 








































































































system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 











命令 


说 


明 










interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
gigabitethernet 0/0/1 


键入 要 配置 队列 调度 功能 的 接口 ， 进 入 接口 视图 













qos { pq | wrr | drr } 
例如 : [HUAWEI- 
GisgabitEthemetO/O/1] qos wrr 


配置 端口 队列 调度 模式 为 PQ、WRR 或 DRR。 缺 省 情况 下 ， 
端口 队列 的 调度 模式 为 WRR 调度 模式 
【注意 】S6700 系列 交换 机 规定 只 有 0~5 号 队列 可 配置 为 WRR 
或 DRR 调度 ，6~7 号 队列 固定 采用 PQ 调度 



















qo0s queue queue-index wrr 
weight weight 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] qos 
queue | wrr weight 10 


指定 端口 队列 WRR 调度 
为 WRR 或 PQ+WRR 时 ， 
中 的 参数 说 明 如 下 。 


(1) queue-index: 指定 队列 的 索引 号 ， 取 值 范围 
的 wrr 权重 值 ， 取 值 范 
127， 权 重 值 越 高 ， 越 优先 被 调度 

缺 省 情况 下 ，WRR 调度 模式 的 队列 权 值 为 1, 五 
q0s queue queue-index Wrr 命令 恢复 参与 WRR i 


(2) weight: 指定 对 应 队 负 





个 或 某 些 队列 的 WRR 权 1 


的 权 值 ， 只 有 端口 队列 调度 模式 
才 需 要 使 用 此 步骤 配置 。 命 令 


直 为 缺 省 值 1 
在 采用 WRR 调度 方式 的 前 提 下 ， 如 果 设置 某 队列 权 值 为 0， 说 
明 该 队列 以 PQ 方式 调度 ， 此 时 整体 调度 模式 为 PQHWRR 方式 | 一 


0~7 
科 为 1 一 


用 undo 
央 度 的 某 





gos queue queue-index drr 
weight weight 

例如 : [HUAWEI- 
GigabitEthernetO/0/1] qos 
queue 1 drr weight 10 





2. S5700SI5700LI5700S-LI 系 列 





在 S55700SI5700LI5700S-LI 系列 交换 机 中 的 拥塞 管 
52P-PWR-EI2710SI3700SI3700EI5700HI5710EIS6700 系列 交换 机 中 的 方法 差不多 ， 只 不 过 在 这 是 





指定 端口 队列 DRR 调度 的 权 值 ， 只 有 端口 队列 i 
为 DRR 或 PQ+DRR 时 ,， 才 需要 使 用 此 步骤 配置 。 


的 参数 说 明 如 下 。 


(1) queue-index: 指定 队列 的 索引 号 

(2) weight: 指定 对 应 队列 的 drr 权重 值 ， 取 值 范 
127， 权 重 值 越 高 ， 越 优先 被 调度 

青 况 下 ，DRR 调度 模式 的 队列 权 值 为 1， 所 


缺 省 


qo0s queue gueue-index drr 


或 某 些 队列 的 DRR 权 值 为 缺 省 值 1 
] DRR 调度 方式 的 前 提 下 ,如果 设置 某 队列 权 值 为 0, 说 
明 该 队列 以 PQ 方式 调度 , 此 时 整体 调度 模式 为 PQ+DRR 方式 


在 采 上 








人 人 > 
RD 令 


[ 能 | 


半 度 模式 
命令 中 
悦 为 1 一 


用 undo 
恢复 参与 DRR 调度 的 某 个 























可 
上 


( 续 表 ) 


理 功 能 配置 方法 与 前 面 介绍 的 S2700-52P-E1/2700- 


























统 视图 下 全 面 配置 一 个 调度 模板 ， 然 后 帮 








15 所 示 。 











具体 接口 








TT 





视图 下 应 用 所 配置 的 调度 模板 。 有 具体 的 配置 步骤 如 表 11- 





4 


表 11-15 S5700S1/5700L15700S-LI 系 列 交换 机 的 拥塞 管理 配置 步 又 





命令 





说 明 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





qos schedule-profile profile-name 


创建 全 局 调度 





模板 ， 并 进入 调度 模板 视图 。 





2 “| 例如 : [HUAWEI]qos 定 所 创建 的 全 局 调度 模板 的 名 称 ， 为 1 一 16 个 字 
schedule-profile pl 符 ， 不 区 分 大 小 写 
qos {pq | wrr | drr} 要 志 站队 列 亩 诺 辣 二 区 二 二 
3 “| 例如 : [HUAWEI-qos-schedule- 配置 端口 队列 调度 模式 为 PQ、WRR 或 DRR。 缺 省 





profile-pl] qos wrr 





情况 下 ， 端 口 队列 的 调度 模式 为 WRR 调度 模式 








命令 


说 明 














qos queue queue-index Wrr 指定 端口 队列 WRR 调度 的 权 值 ， 只 有 
weight weight 端口 队列 调度 模式 为 WRR 或 PQ+WRR 
例如 : [HUAWEI-qos-schedule- 时 ， 才 需要 使 用 此 步骤 配置 。 其 他 说 明 

和 profile-plqos queue 1 wrr weight 10 参见 表 11-16 中 第 4 步 的 说 明 二 
gos quene gqueue index drr 指定 端口 队列 DRR 调度 的 权 值 , 只 有 端 | 一 
weight weight 口 队列 调度 模式 为 DRR 或 PQ+DRR 时 ， 
例如 : [HUAWEI-qos-schedule- 需要 使 用 此 步骤 配置 。 其 他 说 明 参 见 
profile-pl] qos queue 1 drr weight 10 表 11-16 中 第 4 步 的 说 明 
interface interface-type interface- 

$be 键入 要 应 用 调度 模板 的 接口 ， 进 入 接口 视图 


例如 : [HUAWEI] interface 
gigabitethernet 0/0/1 





6 





qos schedule-profile profile-name 
例如 : [HUAWEI- 
GigabitEthermet0/0/1] qos 
schedule-profile pl 








在 以 上 接 








口上 应 用 前 面 配置 的 调度 模板 





3. S7700/9300/9300E/9700 系 列 





WAN 单 板 和 其 他 















































在 S7700/9300/9300E/9700 系列 交换 机 的 拥塞 管理 功能 的 配置 方法 与 前 
PWR-EI2710SI3700SI3700EI5700HI5710EIS6700 系列 交换 机 中 的 方法 也 差不多 ， 只 是 妊 
单 板 ， 有 具体 配置 步骤 如 表 11-16 所 示 。 



































表 11-16 S7700/9300/9300E/9700 系 列 交换 机 的 拥塞 管理 配置 步骤 








( 续 表 ) 


面 介绍 的 S2700-52P-E1/2700-52P- 
E 这 里 要 区 分 


11.3.6 避免 和 





本 示例 拓扑 结构 如 图 11-5 所 示 (适用 于 S5700EI 系 列 ) ，Switch 通 过 接 
Internet 的 业务 有 话音 、 视 频 、 








system-view 

例如 : <HUAWEI> system-view 
interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
gigabitethernet 0/0/1 





进入 系统 视图 








键入 要 配置 队列 调度 功能 的 接口 ， 进 入 接口 视图 














qos queue queue-index wfq weight 
weight 

例如 : [HUAWEI- 
GigabitEthernetO/0/1] qos queue 1 
wfq weight 10 


在 WAN 单 板 中 配置 端口 队列 WFQ 调度 的 权 值 。 命 
令 中 的 参数 说 明 如 下 。 

(1) gueue-index: 指定 配置 队列 调度 的 隐 表 索引 号 ， 
但 取 值 范围 仅 为 0 一 4 (5 一 7 号 队列 固定 采用 PQ 调 
度 方式 ) 

(2) weight; 指定 对 应 队列 的 wrq 权重 值 ， 取 值 范围 
为 1 一 100， 权 重 值 越 高 ， 越 优先 被 调度 








qos { pq | wrr | drr} 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] qos wrr 
或 

qos { pq { start-queue-index 

[to end-queue-index ] } &<1-8> | 
{wrrldrr}f{ Start-queue-index 
[to end-queue-index ] } &<1-8> } 
例如 : [HUAWEI- 
GigabitEthemet0/0/1] qos wrr 0 to 5 





在 其 他 单 板 上 配置 端口 队列 调度 模式 为 PQ、WRR 
或 DRR， 或 者 为 PQ+WRR 或 PQ+DRR。 两 命令 中 
的 参数 说 明 如 下 。 

(1) pq: 多 选 一 选项 ， 指 定 采 用 PQ 调度 模式 

(2) Wrr: 多 选 一 选项 ， 指 定 采 用 WRR 调度 模式 
(3) drr: 多 选 一 选项 ， 指 定 采 用 DRR 调度 模式 
(4) start-queue-index [ to end-queue-index ]: 指定 队 
列 的 索引 号 。 其 中 start-queue-index 表示 第 一 个 队列 
的 索引 ，end-queue-index 表示 最 后 一 个 队列 的 索引 








qos { pq | wrr | drr } 

例如 ; [HUAWEI- 
GigabitEthernet0/0/1] qos wrr 
或 

qos { pq { start-queue-index 

[to end-queue-index ] } &<1-8> | 
{ wrr | drr } { start-queue-index 
[to end-queue-index ] } &<1-8> 
例如 : [HUAWEI- 
GigabitEthemet0/0/1] qos wrr 0 to 5 


缺 省 情况 下 ， 端 口 队列 的 调度 模式 为 PQ 调度 模式 ， 
可 用 undo qos { pq | wrr | drr } 命 令 恢 复 接口 下 端 
口 队 列 的 调度 模式 为 缺 省 值 

【注意 】S7700 系列 交换 机 的 ES1D2X40SFC0 单 板 、 
ES1D2LO2QFC0 单 板 ，S9700 系列 交换 机 的 
EHID2X40SFC0 单 板 和 EHID2L02QFC0 单 板 , S9300 
系列 交换 机 的 LEODX40SFC00 单 板 、LE1D2L02QFC0 
单 板 ， 以 及 S9300E 系列 交换 机 的 LEODX40SFC00 单 
板 、LH2D2L02QFC0 单 板 的 6~7 号 队列 固定 采用 PQ 
调度 ， 只 有 0~5 号 队列 可 配置 为 WRR 或 DRR 调度 





gos queue queue-index Wrr 
weight weight 

例如 : [HUAWEI-qos-schedule- 
profile-plqos queue 1 wrr weight 10 


指定 端口 队列 WRR 调度 的 权 值 ， 只 有 端口 队列 调 
度 模式 为 WRR 或 PQ+WRR 时 ， 才 需要 使 用 此 步骤 
配置 。 其 他 说 明 参 见 表 11-14 中 第 4 步 的 说 明 











力 J 胃 绽 全 而 


gos queue queue-index drr weight 
weight 

例如 : [HUAWEI-qos-schedule- 
profile-pl] qos queue 1 drr weight 10 





示例 (一) 








指定 端口 队列 DRR 调度 的 权 值 , 只 有 端口 队列 调度 
模式 为 DRR 或 PQ+DRR 时 ， 才 需要 使 用 此 步骤 配 
轻 。 其 他 说 明 参 见 表 11-14 中 第 4 步 的 说 明 























( 续 表 ) 


口 GE0/0/3 与 路 由 器 互 连 ， 来 自 
数据 ， 携 带 的 802.1p 优 先 级 分 别 为 7、5、2， 这 些 业 务 可 经 





昌 路 由 器 和 Switch 


到 达 用 户 。 现 为 了 减轻 网 络 拥塞 造成 的 影响 ， 保 证 用 户 对 于 高 优先 级 、 低 延迟 业务 的 服务 要 求 ， 要 求 按 表 
11-17 所 示 配 置 拥塞 避免 功能 参数 ， 按 表 11-18 所 示 配 置 拥塞 管理 功能 参数 。 
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图 11-5 拥塞 避免 和 拥塞 管理 综合 配置 示例 一 拓扑 结构 























表 11-17 拥塞 避免 配置 参数 








0.78 125% 
6.25% 
0.78 125% 
6.25% 
0.78 125% 
6.25% 


















































话音 





视频 
数据 

















1. 基本 配置 思路 分 析 
本 示例 的 基本 配置 思路 如 下 〈 不 包括 VLAN 方 面 的 配置 ) 。 
(1) 首先 在 Switch 设 备 与 路 由 器 连接 ，Internet 流 量 的 入 端口 GE0/0/3 上 配置 信任 报 文 的 802.1p 优 先 级 ， 
然后 配置 基于 流 的 流量 监管 ， 对 报 文 进行 着 色 。 
(2) 全 局 配置 不 同 802.1p 优先 级 报 文 的 拥塞 避免 功能 ， 即 配置 各 队列 的 SRED (S5700EI 系 列 交 换 机 
仅 支 持 SRED 拥 塞 避 免 方 法 ) 浆 值 和 丢弃 概率 。 此 时 只 需要 配置 2、5、7 三 个 队列 的 调度 参数 ， 因 为 这 里 有 
配置 优先 级 与 队列 的 映射 ， 所 以 采用 缺 省 映射 配置 ， 即 报 文 的 802.1p 优 先 级 与 队列 号 是 一 一 对 应 的 。 
(3) 在 Switch 与 下 级 两 交换 机 连接 的 两 个 出 接口 上 配置 2、5、7 三 个 队列 的 调度 参数 。 
2. 具体 配置 步 又 
(1) 配置 GE0/0/3 入 接口 信任 报 文 的 802.1p 优 先 级 。 然 后 按照 本 章 11.3.2 节 介绍 的 S5700EI 系 列 交换 机 基 
于 流 的 流量 监管 方法 对 报 文 进行 着 色 。 
<HUAWEI> system-view 
[HUAWEI] sysname Switch 













































































































































































































































































[Switch] interface gigabitethernet 0/0/3 
[Switch-GigabitEthernet0/0/3] trust 8021p 
[Switch-GigabitEthernet0/0/3] quit 


























(2) 配置 拥塞 避免 功能 ， 即 按照 表 10-17 配置 2、5、7 队 列 的 SRED 阔 值 和 丢弃 概率 。 
[Switch] qos sred queue 2 red 500 discard-probability 1 yellow 1000 discard-probability 4 












































[Switch] gos sred queue 5 red 500 discard-probability 1 yellow 1000 discard-probability 4 
[Switch] gos sred queue 7 red 500 discard-probability 1 yellow 1000 discard-probability 4 
(3) 配置 拥塞 管理 功能 ， 即 按照 表 10-18 在 Switch 的 GE0/0/1、GE0/0/2 出 接口 上 配置 各 服务 等 级 队列 的 


调度 模式 。 
























































[Switch] interfacegigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] gos wrr 
[Switch-GigabitEthernet0/0/1] qos queue7 wrr weight 0 
[Switch-GigabitEthernet0/0/1] qos queue5 wrr weight 20 
[Switch-GigabitEthernet0/0/1] qos queue2 wrr weight 10 
[Switch-GigabitEthernet0/0/1] quit 

[Switch] interfacegigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] qos wrr 
[Switch-GigabitEthernet0/0/2] qos queue7 wrr weight 0 
[Switch-GigabitEthernet0/0/2] qos queue5 wrr weight 20 
[Switch-GigabitEthernet0/0/2] qos queue2 wrr weight 10 
[Switch-GigabitEthernet0/0/2] quit 





可 通过 任意 视图 命令 查看 接口 出 方向 队列 的 全 局 SRED 配 置 ， 
偷 出 的 配置 信息 与 上 述 配 置 是 一 致 的 ， 表 明 配 置 是 正确 的 。 









































[Switch] display qos sred 


Current sred configuration: 












































验证 配置 结果 。 具 体 如 下 ， 从 中 可 以 看 出 


























qos sred queue-index 2 red 500 discard-probability 1 yellow 1000 discard-probability 4 
qos sred queue-index 5 red 500 discard-probability 1 yellow 1000 discard-probability 4 
qos sred queue-index 7 red 500 discard-probability 1 yellow 1000 discard-probability 4 









































11.3.7 拥塞 避免 和 拥塞 管理 综合 配置 示例 〈 二 ) 





6、 


GE0/0/2 的 速率 ， 在 这 两 个 出 接口 处 可 能 会 发 生 拥 塞 。 为 了 减轻 网 络 拥塞 造成 的 影响 ， 保 证 ) 


级 、 


示 。 

















本 示例 拓扑 结构 如 图 11-6 所 示 (适用 于 S5700HI/5710EI/6700/7700/9300/9300E/9700 系 列 交 换 机 〉。 
Switch 通过 接口 GE0/0/3 与 Router 互 连 ， 来 自 Internet 的 业务 有 话音 、 视 频 、 数 据 ， 携 带 的 802.1p 优 先 级 分 别 为 
5、2， 这 些 业 务 可 经 由 Router 和 Switch 到 达 用 户 。 由 于 Switch 入 接口 GE0/0/3 的 速率 大 于 出 接口 GEO/O/L、 
























































































































































j 户 对 于 高 优先 











低 延 迟 业 务 的 服务 要 求 ， 现 同时 配置 拥塞 避免 和 拥塞 管理 功能 ， 配 置 参数 分 别 如 表 11-19 和 表 11-20 所 























表 11-19 拥塞 避免 配置 参数 








业务 类 型 阅 值 下 限 (%) 阔 值 上 限 〈%) 


话音 





100 





视频 
数据 









































表 11-20 拥塞 管理 配置 参数 














业务 类 型 
话音 


视频 
数据 




















1. 基本 配置 思路 分 析 

(1) 因为 在 S5700HI/5710E1/6700/7700/9300/9300E/9700 系 列 交换 机 中 支持 PHB 行 为 着 色 ， 所 以 需要 在 
Switch 上 创建 并 配置 DiffServ 域 ， 将 802.1p 优 先 级 映射 为 PHB 行 为 并 着 色 ， 并 在 Switch 入 接口 上 绑 定 DiffServ 
域 。 参 见 本 章 11.1.4 节 。 

(2) 在 Switch 上 配置 WRED 模 板 ， 并 在 出 接口 应 用 WRED 模 板 。 

(3) 在 Switch 出 接口 上 配置 各 服务 等 级 队列 的 调度 参数 。 
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图 11-6 拥塞 避免 和 拥塞 管理 综合 配置 示例 二 拓扑 结构 














2. 具体 配置 步 又 
(1) 配置 基于 简单 流 分 类 的 优先 级 映射 ， 即 创建 DiffServ 域 ds1， 将 802.1p 优 先 级 6、5、2 分 别 映射 为 

PHB 行 为 EF、AF3、AF1， 并 分 别 将 颜色 标记 为 绿色 、 黄 色 、 红 色 。 

<HUAWEI> system-view 

[HUAWEI] sysname Switch 

[Switch] diffserv domain ds1 

[Switch-dsdomain-ds1] 8021p-inbound 6 phb ef green 

[Switch-dsdomain-ds1] 8021p-inbound 5 phb af3 yellow 



























































[Switch-dsdomain-ds1] 8021p-inbound 2 phb afl red 
[Switch-dsdomain-ds1] quit 

(2) 在 Switch 入 接口 GE0/0/3 上 绑 定 DiffServ 域 。 
[Switch] interfacegigabitethernet 0/0/3 




















[Switch-GigabitEthernet0/0/3] trust upstreamds1 
[Switch-GigabitEthernet0/0/3] trust 8021p inner 
[Switch-GigabitEthernet0/0/3] quit 
(3) 配置 拥塞 避免 ， 即 在 Switch 上 创建 WRED 模 板 wredl1， 并 配置 wred1 的 三 色 报 文 参数 。 
[Switch] drop-profile wred1 







































































[Switch-drop-wred1] color green low-limit 80 high-limit 100 discard-percentage10 
[Switch-drop-wred1] color yellow low-limit60high-limit 80 discard-percentage20 
[Switch-drop-wred1] color red low-limit40 high-limit 60 discard-percentage40 
[Switch-drop-wred1] quit 

(4) 在 Switch 的 GE0/0/1、GE0/0/2 出 接口 上 应 用 WRED 模 板 wred1。 
[Switch] interfacegigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] qos wredwred1 
[Switch-GigabitEthernet0/0/1] qos queue 5 wredwred1 











[Switch-GigabitEthernet0/0/1] qos queue 3 wredwred1 

[Switch-GigabitEthernet0/0/1] qos queue 1 wredwred1 

[Switch-GigabitEthernet0/0/1] quit 

[Switch] interfacegigabitethernet 0/0/2 

[Switch-GigabitEthernet0/0/2] qos wredwred1 

[Switch-GigabitEthernet0/0/2] qos queue 5 wredwred1 

[Switch-GigabitEthernet0/0/2] qos queue 3 wredwred1 

[Switch-GigabitEthernet0/0/2] qos queue 1 wredwred1 

[Switch-GigabitEthernet0/0/2] quit 

(5) 配置 拥塞 管理 ， 在 Switch 的 GE0/0/1、GE0/0/2 接口 上 配置 各 服务 等 级 队列 的 调度 参数 。 

[Switch] interfacegigabitethernet 0/0/1 

[Switch-GigabitEthernet0/0/1] qos drr 

[Switch-GigabitEthernet0/0/1] qos queue 5 drr weight 0 # 如 果 是 S7700/9300/9300E/9700 系 列 ， 本 命令 要 通 
过 以 下 两 条 命令 来 实现 : c[Switch-GigabitEthernet0/0/1] qos pq 5，@[Switch-GigabitEthernet0/0/1] qos drr 0 to 
4， 下 同 

[Switch-GigabitEthernet0/0/1] qos queue 3 drr weight 100 

[Switch-GigabitEthernet0/0/1] qos queue 1 drr weight 50 

[Switch-GigabitEthernet0/0/1] quit 

[Switch] interfacegigabitethernet 0/0/2 

[Switch-GigabitEthernet0/0/2] qos drr 

[Switch-GigabitEthernet0/0/2] qos queue 5 drr weight 0 

[Switch-GigabitEthernet0/0/2] qos queue 3 drr weight 100 

[Switch-GigabitEthernet0/0/2] qos queue 1 drr weight 50 










































































[Switch-GigabitEthernet0/0/2] quit 
配置 好 后 ， 可 以 通过 display diffserv domain name ds1 命 令 查看 DiffServ 域 ds1 的 配置 信息 ， 验 证 配置 结 










































































[Switch] display diffserv domain nameds1 
diffserv domain name:ds1 
8021p-inbound 0 phb be green 
8021p-inbound 1 phb af1 green 
8021p-inbound 2 phb af1 red 
8021p-inbound 3 phb af3 green 
8021p-inbound 4 phb af4 green 
8021p-inbound 5 phb af3 yellow 
8021p-inbound 6 phb ef green 
8021p-inbound 7 phb cs7 green 
8021p-outbound be green map 0 


同样 可 通过 display drop-profile namewred1 命 令 查 看 WRED 模 板 配置 信息 ， 验 证 配置 结果 。 
[Switch] display drop-profile namewred1 

















Drop-profile[3] : wred1 
Color Low-limit High-limit Discard-percentage 


Green 80 100 10 
Yellow 60 80 20 
Red 40 6 40 
Non-tcp 100 100 100 





11.4 复杂 流 策略 配置 与 管理 





























流 策略 是 指 通过 将 用 户 流量 分 类 ， 把 具有 某 类 共同 特征 的 报 文 划分 为 一 类 ， 为 相同 类 型 的 流量 提供 同 
等 的 QoS 服务 ， 从 而 针对 不 同 的 业务 类 型 提供 差分 服务 。 在 本 书 第 9 章 介绍 了 基于 AcCL 的 简化 流 策略 配置 与 
应 用 方法 ， 本 节 要 介绍 复杂 流 策 略 〈 也 就 是 真正 的 QoS 策略 ) 的 配置 与 管理 方法 。 

复杂 流 策 略 包含 3 个 要 素 (有 关 QoS 流 策 略 的 基础 知识 具体 参见 第 10 章 10.5 节 ) : 

(1) 流 分 类 

流 分 类 (traffic classifier) 用 来 定义 一 组 流量 匹配 规则 ， 以 对 报 文 进行 分 类 。 流 分 类 中 各 规则 之 间 的 关 
系 分 为 and 或 or， 缺 省 情况 下 的 关系 为 and。 当 流 分 类 中 有 ACL 规 则 时 ， 报 文 必须 匹配 其 中 一 条 ACL 规 则 以 及 
所 有 非 ACL 规 则 才 属 于 and 类 ; 当 流 分 类 中 没有 ACL 规 则 时 ， 报 文 必须 匹配 所 有 非 ACL 规 则 才 属 于 and 类 ; 
报 文 只 要 匹配 了 流 分 类 中 的 一 个 规则 ， 设 备 就 认为 报 文 属于 or 类 。 

(2) 流行 为 

流行 为 (traffic behavior) 用 来 定义 针对 某 类 报 文 所 做 的 QoS 行为 。 进 行 流 分 类 是 为 了 有 区 别 地 提供 服 
务 ， 它 必须 与 某 种 流量 控制 或 资源 分 配 的 行为 关联 起 来 才 有 意义 。 
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(3) 流 策略 
流 策略 (traffic policy) 用 来 将 指定 的 流 分 类 和 流行 为 绑 定 ， 对 分 类 后 的 报 文 执 行 对 应 流行 为 中 定义 的 
行为 。 




















11.4.1 配置 流 分 类 




















配置 流 分 类 可 以 将 符合 一 定 规则 的 报 文 分 为 一 类 ， 区 分 出 用 户 流量 ， 是 实现 差分 服务 的 前 提 和 基础 。 
如 果 使 用 ACL 作为 流 分 类 规则 ， 则 在 配置 流 分 类 之 前 要 配置 相应 的 ACL 。 各 个 流 分 类 各 规则 之 间 属 于 并 列 
关系 ， 只 要 [匹配 规则 不 冲突 ， 都 可 以 在 同一 流 分 类 中 配置 。 用 户 使 用 时 ， 请 根据 需要 进行 配置 。 

流 分 类 的 配置 方法 很 简单 ， 只 需 以 下 两 步 。 

(1) 先 在 系统 视图 下 使 用 traffic classifier classifier-name [operator {and | or } ] 命令 创建 一 个 流 分 类 ， 进 
入 流 分 类 视图 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(QD classifier-name: 用 来 指定 所 创建 的 流 分 类 的 名 称 ， 为 1 一 31 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 。 

@and: 二 选 一 选项 ， 表 示 在 配置 的 各 流 分 类 中 各 规则 之 间 关 系 为 “逻辑 与 ”， 这 样 当 流 分 类 中 有 ACL 规 
则 时 ， 报 文 必须 匹配 其 中 一 条 ACL 规 则 以 及 所 有 非 ACL 规 则 才 属 于 该 类 ; 当 流 分 类 中 没有 ACL 规 则 时 ， 则 
报 文 必须 匹配 所 有 非 ACL 规 则 才 属 于 该 类 。 

@) or: 二 选 一 选项 ， 则 表示 流 分 类 各 规则 之 间 关 系 是 “逻辑 或 ”， 即 报 文 只 需 匹 配 流 分 类 中 的 一 个 或 多 
个 规则 即 属 于 该 类 。 缺 省 情况 下 ， 流 分 类 中 各 规则 之 间 的 关系 为 “逻辑 与 ”。 

(2) 根据 实际 情况 在 表 11-21 中 选择 配置 流 分 类 中 的 匹配 规则 。 














































































































































































































表 11-21 流 分 类 中 可 以 配置 的 流 分 类 规则 


外 层 VLAN 
ID 或 基于 
QinQ 报 文 内 
外 两 层 Tag 
的 VLANID 





if-mateh vlan-id start- 
van-id [to end-vian-id ] 
[ evlan-id cy/an-id ] 
例如 : [HUAWEI-classifier- 
class1] if-match vlan-id 
lto 10 


if-mateh cvlan-id srart- 
Van-id [to end-vian-id ] 
[ vlan-id wan-id ] 

例如 : [HUAWEIclassifier- 
class1] if-match cvlan-id 
2to5 


ifmatch 8021p { 8021p- 
Value } &<1-8> 

例如 : [HUAWEI-classifier- 
class1] if-match 8021p 1 


在 流 分 类 中 创建 基于 VLAN ID 进行 分 类 的 匹配 规则 。 命 
令 中 的 参数 说 明 如 下 。 

(1) start-vlan-id [ to end-vlan-id ]: 指定 匹配 报 文 的 外 
层 VLAN ID， 其 中 start-vlan-id 参数 表示 起 始 外 层 
VLAN ID，end-vlan-id 参数 表示 结束 外 层 VLAN 1D， 
取 值 范围 均 为 1 一 4 094 的 整数 ,end-vlan-id 参数 取 值 必 
须 大 于 start-vlan-id。 若 不 指定 to end-vlan-id 可 选 参 数 ， 
则 表示 基于 start-vlan-id 参数 所 指定 的 外 层 VLAN ID 进 
行 流 分 类 

(2) evlan-id: 可 选 参数 ， 指 定 内 层 VLAN ID， 取 值 范 转 
也 为 1 一 4 094 的 整数 ，Ss700SUS700LUS700S-LI 系列 交 
换 机 不 支持 此 参数 

缺 省 情况 下 ， 流 分 类 中 没有 基于 VLAN ID 进行 分 类 的 匹 
配 规则 ， 可 用 undo if-match vlan-id start-vlan-id [ to 
end-vlan-id ] [ cvian-id cvlan-id ] 命令 在 流 分 类 中 删除 基 
于 指定 VLAN ID 进行 分 类 的 匹配 规则 


配置 基于 VLAN ID 进行 流 分 类 的 匹配 规则 ， 但 在 
S2700/3700 系列 中 仅 S2700EL2710SU3700EI 系列 支持 本 
命令 ,在 SS700 系列 交换 机 中 ,S5700S1/S$700LLS700S-LI 
系列 交换 机 不 支持 本 命令 。 命 令 中 的 参数 说 明 如 下 。 

(1) start-vian-id[ to end-vian-id ]: 指定 匹配 QinQ 报 文 的 
内 层 VLAN ID。 其 中 start-vlan-id 参数 表示 起 始 内 层 


VLAN ID 取 值 范围 为 1 一 4 094 的 整数 ，end-vlan-id 参数 
表示 结束 内 层 VLAN ID, 取 值 范围 也 为 1 一 4 094 的 整数 。 
end-vlan-id 参数 取 值 必须 大 于 start-vlan-i4， 革 不 指定 to 
end-vlan-id 可 选 参数 ， 则 表示 基于 start-vlan-id 参数 所 指 
定 的 内 层 VLAN ID 进行 流 分 类 

(2) vlan-id: 可 选 参 数 , 指定 匹配 QinQ 报 文 的 外 层 VLAN 
ID， 取 值 范围 也 为 1 一 4 094 的 整数 。 如 果 不 指定 此 可 选 
参数 ， 则 只 匹配 QinQ 报 文 的 内 层 VLAN ID 

缺 省 情况 下 ， 流 分 类 中 没有 基于 QinQ 报 文 内 外 两 层 
VLAN ID 进行 分 类 的 匹配 规则 ， 可 用 undo if-match 
cvlan-id start-cvlan-id [ to end-cvlan-id ] [vlan-id vian-id ] 
命令 在 流 分 类 中 删除 基于 QinQ 报 文 内 外 两 层 VLAN ID 
进行 分 类 的 匹配 规则 

配置 基于 VLAN 报 文 的 802.1p 优先 级 进行 流 分 类 的 匹配 
规则 ,但 S2700SI 交换 机 不 支持 本 命令 。 命 令 中 的 参数 说 
明 如 下 : 

(1) 8021p-value : 指定 配置 VLAN 报 文 的 802.1p 优先 级 
值 ， 了 到 值 范 围 为 0~7 的 整数 ， 值 越 大 优先 级 越 高 

(2) &<1-8>: 表示 可 以 最 多 配置 8 个 8021p-value 参 
数值 

缺 省 情况 下 ， 流 分 类 中 没有 基于 VLAN 报 文 的 802.1p 优 
先 级 进行 分 类 的 匹配 规则 ， 可 用 undo if-mateh 8021p 命 
令 在 流 分 类 中 删除 基于 VLAN 报 文 的 802.1p 优先 级 进行 
分 类 的 匹配 规则 





QinQ 报 文 
内 层 VLAN 
的 802.1p 
优先 级 


目的 MAC 
地 址 


源 MAC 地 址 


以 太 网 
帧 头 中 协议 
类 型 字段 





if-match cvlan-8021p 

1 8021p-value 上 &<1-8> 
例如 : [HUAWEI-classifier- 
class1] if-match cvlan- 
8021p 1 


if-match discard 
例如 : [HUAWEI-classifier- 
classl lif-match discard 


if-match double-tag 
例如 : [HUAWEIl-classifier- 
classl Jif-match double- 
tag 


if-match destination-mac 
mac-adidress 

[ mac-address-mask ] 
例如 : [HUAWEI-classifier- 
classljif-match 
destination-mac 0050- 
b007-bed3 O00ff-f0Of-fAT 


if-match source-mac 
mac-address 
[mac-address-mask ] 
例如 : [HUAWEI-elassifier- 
class1] if-match source- 
mac 0050-b007-bed3 

00 任 -全 0 全 在 全 


if-match -protocol 
{arp |ip | mpls | rarp | 
protocol-value } 

例如 : [HUAWEI-classifier- 
classl] ifmatch 12-protocol 
ip 


配置 基于 QinQ 报 文 内 层 802.1p 优先 级 进行 分 类 的 匹配 规 
则 ， 但 SS700SUS700LUS700S-LI 系列 交换 机 不 支持 本 命 
令 。 命 令 中 的 两 个 参数 同上 一 命令 说 明 

矶 省 情况 下 , 流 分 类 中 没有 基于 QinQ 报 文 内 层 802.1p 优 
先 级 进行 分 类 的 匹配 规则 ， 可 用 undo if-mateh 
cvlan-8021p 命令 在 流 分 类 中 删除 基于 QinQ 报 文 内 层 
802.1p 优先 级 进行 分 类 的 匹配 规则 

在 流 分 类 中 创建 基于 丢弃 报 文 进行 分 类 的 匹配 规则 , 但 在 
S2700/3700 系列 中 仅 S2700E1/2710S1/3700E1 系列 支持 本 
命令 , 在 S5700 系列 交换 机 中 ,S5700S1/S700LLS700S-LI 
系列 交换 机 不 支持 本 命令 。 缺 省 情况 下 ， 流 分 类 中 没有 基 
于 丢弃 报 文 进行 分 类 的 匹配 规则 ， 可 用 undo if-match 
diseard 命令 在 流 分 类 中 删除 基于 丢弃 报 文 进行 分 类 的 匹 
配 规则 

配置 基于 双 层 Tag 进行 流 分 类 的 匹配 规则 。 但 在 
S2700/3700 系列 中 仅 S2700E1/2710S1/3700ET 系列 支持 本 
命令 , 在 S5700 系列 交换 机 中 ，S5700SIS5700LIS700S-LI 
系列 交换 机 不 支持 本 命令 

缺 省 情况 下 , 流 分 类 中 没有 基于 双 层 Tag 进行 分 类 的 号 配 
规则 ， 可 用 undo if-match double-tag 命令 在 流 分 类 中 删 
除 该 匹配 规则 

配置 基于 报 文 目的 MAC 地 址 进行 流 分 类 的 匹配 规则 。 命 
令 中 的 参数 说 明 如 下 。 

(1) mac-address : 指定 要 匹配 的 目的 MAC 地 址 ，H-H-H 
形式 ， 每 个 卫 代 表 4 个 十 六 进 制 数字 

(2) mac-address-mask : 指定 目的 MAC 地 址 掩 码 ，H-H-H 
形式 , 每 个 日 代表 4 个 十 六 进 制 数字 , 不 能 为 0-0-0, MAC 
地 址 的 拖 码 作用 与 IP 地址 的 掩 码 类 似 ，! 表示 匹配 该 位 ， 
0 表示 不 匹配 ， 可 用 于 确定 一 组 MAC 地 址 。 用 户 可 以 借 
助 MAC 地 址 的 掩 码 ， 实 现 对 目的 MAC 地 址 中 某 几 位 进 
行 精确 匹配 ， 具 体 使 用 时 可 在 上 且 的 MAC 地 址 的 掩 码 中 将 
该 几 位 置 1 

缺 省 情况 下 ， 流 分 类 中 没有 基于 目的 MAC 地 址 进行 分 类 
的 匹配 规则 ， 可 用 undo if-match destination-mae 命令 删 
除 某 于 目的 MAC 地 址 进行 流 分 类 的 匹配 规则 


配置 基于 报 文 源 AC 地 址 进行 流 分 类 的 匹配 规则 。 命 令 中 
的 参数 说 明 同 上 一 命令 

缺 省 情况 下 , 流 分 类 中 没有 基于 源 AC 地 址 进行 分 类 的 匹 
配 规则 ， 可 用 undo if-mateh souree-mae 命令 剧 除 基于 日 
的 MAC 地 址 进行 流 分 类 的 匹配 规则 


配置 基于 二 层 报 文 封装 的 协议 字段 进行 流 分 类 的 匹配 规 
则 ,但 S2700SI 交换 机 不 支持 本 命令 。 命令 中 的 参数 和 选 
项 说 明 如 下 。 

(1) arp: 多 选 一 选项 ， 指 定 基于 ARP 协议 字段 进行 分 类 
(2) ip; 多 选 一 选项 ， 指 定 基于 IP 协议 字段 进行 分 类 
(3) mpls: 多 选 一 选项 ,指定 基于 MPLS 协议 字段 进行 分 类 
(4) rarp: 多 选 一 选项 ， 指 定 基于 RARP 协议 字段 进行 分 类 





以 太 网 
帧 头 中 协议 
类 型 字段 


IP 报 文 的 IP 
优先 级 


报 文 三 层 
协议 类 型 


if-match 12-protocol 
farp lip| mpls | rarp | 
protocol-value } 

例如 : [HUAWEIl-classifier- 
class1] 认 match -protocol 
ip 


认 mateh any 
例如 : [HUAWEI-classifier- 
classi] if-match any 


if-match dscp dscp-value 
&<1-8> 

例如 : [HUAWEl-classifier- 
classl |] if-match dscp 10 


if-match ip-precedence 
ip-precedence-value 
&<1-8> 

例如 : [HUAWEI-classifier- 
classl] if-match 
ip-precedence 1 


if-matech protocol 

{ip | ipv6 } 

例如 : [HUAWEI-classifier- 
classl | if-match 
protocol ip 


(5) prortocol-value: 多 选 一 选项 ， 指 定 基于 协议 类 型 值 进行 
分 类 ， 用 十 六 进 制 表示 ， 取 值 范围 是 0x0000 一 0xXFFFF， 条 
入 时 必须 以 "0x" 开 始 。ARP 协议 的 类 型 值 为 0x0806，IP 协 
议 的 类 型 值 为 0x0800,MPLS 协议 的 类 型 值 为 0x8847,RARP 
协议 的 类 型 值 为 0x8035。 当 键入 的 值 小 于 0x0600 的 时 候 匹 
配 的 是 LLC (Logical Line Control， 邮 辑 链 路 控制 协议 中 
的 DSAP (Destination Service Access Point, 目的 服务 访问 点 》 
和 SSAP (Source Service Access Point， 源 服务 访问 点 ) 

本 命令 为 禾 盖 式 命令 ， 即 在 同一 流 分 类 视图 下 多 次 配置 基 
于 二 层 封 装 的 协议 字段 进行 流 分 类 的 匹配 规则 后 , 按 最 后 
一 次 配置 生效 

缺 省 情况 下 ， 流 分 类 中 没有 基于 二 层 封 装 的 协议 字段 进行 分 
类 的 匹配 规则 , 可 用 undo 认 match 12-protocol 命令 用 米 在 流 
分 类 中 删除 基于 二 层 封装 的 协议 字段 进行 分 类 的 匹配 规则 
在 流 分 类 中 创建 基于 所 有 数据 报 诡 进行 分 类 的 匹配 规则 ， 
但 S2700SI 交换 机 不 支持 本 命令 

缺 省 情况 下 , 流 分 类 中 没有 基于 所 有 数据 报 文 进行 分 类 的 
丐 配 规 则 ， 可 用 undo if-mateh any 命令 在 流 分 类 中 删除 
基于 所 有 数据 报 文 进行 分 类 的 匹配 规则 


配置 禁 于 报 文 DSCP 值 的 匹配 规划， 但 在 S2700/3700 系 
列 中 仅 S2700E1/2710S1/3700E1 系列 支持 本 命令 。 命令 中 
的 参数 说 明 如 下 。 

(1) dscp-value 用 来 指定 要 匹配 的 DSCP 值 ， 取 值 范围 为 


0 一 63 的 整数 ， 也 可 以 为 DSCP 的 服务 类 型 名 称 ， 它 们 对 
应 的 到 值 分 别 为 : afll (10)、afl2 (12)、 afl3 (14)、af21 
(18)、afP2 (20)、af23 (22)、 af31 (26)、a 人 2 (28)、af33 
〈30)、a 亿 1 (34)、af42 (36)、af43 (38)、csl (8)、cs2 
(16)、cs3 (24)、cs4 (32), es5 (40), cs6 (48)、cs7 (56)、 
default (0)、ef (46)。 缺 省 情况 下 值 为 0 

(2) &<1-8>: 表示 最 多 可 以 带 8 个 dscp-value 参数 值 
缺 省 情况 下 , 流 分 类 中 没有 基于 报 文 DSCP 值 进行 分 类 的 
匹配 规则 ， 可 用 undo imatch dsep 命令 在 流 分 类 删除 基 
于 报 文 DSCP 值 进行 分 类 的 匹配 规则 

配置 禁 于 IP 优先 级 进行 分 类 的 匹配 规则 。 命 令 中 的 参数 
说 骨 如 下 - 

(1) ip-precedence-value: 用 来 指定 要 匹配 的 1P 优先 级 值 ， 
取 值 范围 为 0 一 7 的 整数 

(2) &<1-8>: 表示 最 多 可 以 带 8 个 如 pecedence-vaiue 参数 值 
不 能 在 一 个 迪 辑 关系 为 “与 "的 流 分 类 中 同时 配置 if-mateh 
dscp 和 if-match ip-precedence 

缺 省 情况 下 ， 流 分 类 中 没有 基于 IP 优先 级 进行 分 类 的 区 
瑟 规则， 可 用 undo imateh ip-precedence 命令 在 流 分 类 
中 删除 基于 IP 优先 级 进行 分 类 的 匹配 规则 

配置 基于 IPv4 或 者 IPv6 协议 进行 流 分 类 的 匹配 规则 ， 但 
S2700SI 交换 机 不 支持 本 命令 

缺 省 情况 下 ， 流 分 类 中 没有 基于 IP 优先 级 进行 分 类 的 匹 
配 规 则 ， 可 用 undo if-match ip-precedence 命令 在 流 分 类 
中 删除 基于 IP 优先 级 进行 分 类 的 匹配 规则 





TCP 报 文 
SYN Flag 


if-match tcp syn-flag 

{ syn-flag-value | ack | fin | 
psh | rst | syn | urg } 
例如 : [HUAWEIl-classifier- 
class1] if-match tep 
syn-flag ack 


配置 基于 TCP 报 文 头 中 的 SYN 标志 字段 进行 流 分 类 的 匹 
配 规则 ， 但 S2700S1 交换 机 不 支持 本 命令 命令 中 的 参数 
和 选项 说 明 如 下 。 

(1) syn-flag-value: 多 选 一 参数 ， 指 定 用 于 匹配 的 TCP 报 
文 头 中 SYN 标志 字段 的 值 ， 取 值 范围 为 0 一 63 的 整数 
(2)ack: 多 选 一 选项 , 指定 用 于 匹配 的 TCP 报 文 关中 SYN 
标志 字段 的 ACK 标志 位 

(3)fin: 多 选 一 选项 , 指定 用 于 匹配 的 TCP 报 文 头 中 SYN 
标志 字段 的 FIN 标志 位 

(4)psh: 多 选 一 选项 , 指定 用 于 匹配 的 TCP 报 文 头 中 SYN 
标志 字段 的 PSH 标志 位 

(5)rst; 多 选 一 选项 , 指定 用 于 匹配 的 TCP 报 文 头 中 SYN 
标志 字段 的 RST 标志 位 

(6)syn: 多 选 一 选项 , 指定 用 于 匹配 的 TCP 报 文 头 中 SYN 
标志 字段 的 SYN 标志 位 

(7)urg: 多 选 一 选项 , 指定 用 于 匹配 的 TCP 报 文 头 中 SYN 
标志 字段 的 URG 标志 位 

缺 省 情况 下 ， 流 分 类 中 没有 基于 TCP 报 文 关中 的 SYN 标 
志 字 段 进 行 分 类 的 匹配 规则 , 可 用 undo if-match tcp 命令 
在 流 分 类 中 删除 基于 TCP 报 文 头 中 的 SYN 标志 字段 进行 
分 类 的 匹配 规则 








出 接口 


if-match inbound- 
interface interface-type 
interface-number 

例如 : [HUAWEI-classifier- 
classl jif-match 
inbound-interface 
gigabitethernet 0/0/1 


孔 置 基于 入 接口 对 报 文 进行 流 分 类 的 匹配 规则 ， 但 
S2700SI 交换 机 不 支持 本 命令 。 参数 imerface-type 
interface-number 用 米 指定 要 匹配 的 入 接口 类 型 和 编号 
缺 省 情况 下 , 流 分 类 中 没有 基于 入 接口 对 报 文 进行 分 类 的 
匹配 规则 ， 可 用 undo if-mateh inbound-interface 命令 在 
流 分 类 中 删除 基于 入 接口 对 报 文 进行 分 类 的 匹配 规则 





if-match outbound- 
interface interface-type 
interface-number 

例如 ; [HUAWEI-classifier- 
classl Jif-match 
inbound-interface 
gigabitethernet 0/0/2 


配置 基于 出 接口 对 报 文 进行 流 分 类 的 匹配 规则 ， 但 在 


S2700/3700 系列 中 仅 S2700EI/2710S13700EI 系列 支持 本 
命令 , 在 SS700 系列 交换 机 中 ，SS700SUS700LIS700S-LI 
系列 交换 机 不 支持 本 命令 。 人 参数 interface-type 
interface-number 用 来 指定 要 匹配 的 出 接口 类 型 和 编号 

缺 省 情况 下 , 流 分 类 中 没有 基于 入 接口 对 报 文 进行 分 类 的 
匹配 规则 , 可 用 undo if-match outbound-interface 命令 在 
流 分 类 中 删除 基于 出 接口 对 报 文 进行 分 类 的 匹配 规则 





ACL 规则 


ACL6 规则 


if-match acl 

{ acl-munber | acl-name } 
例如 : [HUAWEI-classifier- 
class1] 让 match acl 2001 


if-match ipv6 acl 

{ acl-number | acl-name } 
例如 : [HUAWEI-classifier- 
class1] if-match ipy6 acl 
3001 





使 用 ACL 作为 流 分 类 规则 ，{ aci-number | aci-name } 人 参数 
分 别 用 来 指定 要 匹配 的 ACL 号 或 ACL 名 称 

必须 先 配置 相应 的 ACL 规则 ， 设 备 支持 : 基本 IPv4 ACL、 高 
级 IPv4ACL、 二 层 ACL 和 用 户 自 定义 ACL， 参 见 本 书 第 9 章 


使 用 ACL6 作为 流 分 类 规则 ，{ acl-number | acl-name } 参 
数 分 别 用 来 指定 要 匹配 的 ACL 号 或 ACL 名 称 

必须 先 配 置 相应 的 ACL6 规则 , 设备 支持 基本 IPv6 ACL 和 
高 级 IPv6 ACL, 但 S2700/3700 系列 交换 机 不 支持 IPv6 ACL 





【示例 1】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 VLAN ID 为 2 的 报 文 。 


<HUAWEI> system-view 


[HUAWEI] traffic classifier cl operator and 
[HUAWEI-classifier-c1] if-match vlan-id 2 
【示例 2】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 内 层 VLAN ID 为 100 的 QinQ 报 文 。 


<HUAWEI>system-view 


[HUAWEI] traffic classifier cl operator and 


[HUAWEI-classifier-c1] if-match cvlan-id 100 
【示例 3】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 内 层 VLAN ID 范围 为 100 到 200 且 外 层 VLAN ID 为 300 的 


QinQ 报 文 。 
<HUAWEI>system-view 


[HUAWEI] traffic classifier cl operator and 
[HUAWEI-classifier-c1] if-match cvlan-id 100 to 200 vlan-id 300 
【示例 4】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 802.1p 优 先 级 值 为 1 的 VLAN 报 文 。 


<HUAWEI>system-view 














[HUAWE!I]| traffic classifier cl operator and 
[HUAWEI-classifier-c1] if-match 8021p 1 





【示例 5】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 目的 MAC 地 址 为 0050-ba27-bed3 的 报 文 。 





<HUAWEI>system-view 
[HUAWE!I]| traffic classifier cl operator and 


[HUAWEI-classifier-c1] if-match destination-mac 0050-ba27-bed3 
【示例 6】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 目的 MAC 地 址 为 XX50-bXX7-bed3 的 报 文 〈X 表 示 为 任意 十 





六 进 制 ) 。 
<HUAWEI>system-view 
[HUAWEI]| traffic classifier cl operator and 








[HUAWEI-classifier-c1| if-match destination-mac 0050-b007-bed3 O00ff-fOOf-ffff 
【示例 7】 定 义 流 分 类 cl 的 匹配 规则 为 匹配 二 层 封装 的 协议 字段 为 ARP 的 报 文 。 





<HUAWEI>system-view 
[HUAWE!I]| traffic classifier cl operator and 





[HUAWEI-classifier-c1] if-match 12-protocol arp 








配置 好 流 分 类 后 ， 可 以 通过 执行 display traffic classifier user-defined [ classifier- name ] 任意 视图 命令 查 




















看 设备 上 的 流 分 类 信息 。 





11.4.2 配置 流行 为 











下 











配置 流行 为 即 为 符合 流 分 类 规则 的 流量 指定 后 续 行 为 ， 是 配置 流 策略 的 前 提 条 件 。 本 节 将 介绍 以 下 流 











行为 的 配置 方法 ， 可 根据 实际 需要 选择 配置 。 
以 在 同一 流行 为 中 配置 。 















































在 配置 流行 为 时 ， 各 行为 属于 县 加 关系 ， 只 要 不 ee 都 可 

















1. 报 文 过 滤 

配置 报 文 过滤 后 ， 设 备 将 对 符合 流 分 类 规则 的 报 文 进行 过 滤 ， 从 而 实现 对 网 络 流量 的 控制 。 
2. 重 标 记 

通过 配置 重 标记 ， 设 备 对 符合 流 分 类 规则 的 报 文 的 指定 字 











IP 报 文 的 DSCP 和 内 部 优先 级 。 全 富 计 记 仙 交涉 右 守 区 不 























下 游 设 备 对 报 文 的 QoS 处 理 。 
3. 重 定向 
通过 配置 重 定向 ， 设 备 将 符合 流 分 类 规则 


























J 大 全 
4. 流量 监管 


流量 监管 是 一 种 通过 对 流量 规格 的 监督 ， 
管 ， 设 备 对 符合 流 分 类 规则 的 报 文 的 流量 进 和 
































的 报 文 习 





来 限制 流 




















重 标记 服务 级 别 等 行为 。 
5. 流 镜 像 


配置 流 镜像 后 ， 设 备 将 符合 流 分 类 规则 的 所 有 报 文 镜像 到 监控 端口 。 


6. 流量 统计 








配置 流量 统计 后 ， 设 备 将 对 符合 流 分 类 规则 的 报 文 进 























通过 和 被 丢弃 的 情况 ， 由 此 分 析 和 判断 流 策 








略 的 应 月 








名 量 及 其 资源 使 用 的 流量 控 千 
监督 ， 对 于 超过 规格 的 流量 ， 





Ez 


段 进行 设 置 ， 如 VLAN 报 文 的 802.1p 优 先 级 、 


公转 5 

















响 当 前 设备 对 报 文 的 QoS 处 理 ， 仅 会 影响 


重 定向 到 CPU、 
含 重 定 向 行为 的 流 策略 只 能 在 全 局 、 接 口 或 VLAN 的 入 方向 上 应 用 。 



































Im| 







































































间 定 的 下 一 跳 地 址 或 指定 接口 ， 但 包 


1 行为 。 通 过 配置 流量 监 
可 以 采取 丢弃 、 





吧 | 





Ey 


mh 


标记 颜色 、 























行 流量 统计 ， 可 以 帮助 用 户 了 解 应 用 流 策略 后 报 
是否 合 理 ， 也 有 助 于 进行 相关 的 故障 诊断 与 排查 。 





7. 禁止 MAC 地 址 学 习 

在 网 络 比较 稳定 、 报 文 的 MAC 地址 相对 固定 的 情况 下 ， 设 备 没有 必要 继续 学 习 其 他 所 有 报 文 的 MAC 

地 址 。 此 时 通过 对 流 策略 下 所 有 流 分 类 禁止 MAC 地 址 学 习 功 能 ， 既 可 以 节省 MAC 地 址 表 项 开支 ， 又 可 以 

提高 设备 的 运行 效率 。 
某 些 非 法 用 户 有 时 会 采用 频繁 变换 MAC 地 址 的 方式 对 网 络 进行 攻击 ， 此 时 通过 对 流 策略 下 所 有 流 分 类 

禁止 MAC 地 址 学 习 功 能 ， 可 以 避免 此 类 攻击 所 造成 的 设备 MAC 地 址 表 项 溢出 的 问题 ， 保 护 设 备 性 能 不 受 

影响 。 


以 上 流行 为 的 配置 步 又 如 表 11-22 所 示 。 



















































































表 11-22 流行 为 配置 步骤 


system-view 


se 
. 例如 : <HUAWEI> system-view 进入 系统 视图 

公共 配置 traffic behavior behavior-name ”| 创建 一 个 流行 为 ， 进 入 流行 为 视图 。 参 数 
2 | 例如 : [HUAWEI] traffic behavior | 用 来 指定 所 创建 的 流行 为 的 名 称 , 为 1 一 31 


bl 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 
如 果 执 行 permit 命令 ， 则 对 符合 流 分 类 的 
报 文 不 做 任何 行为 ， 按 原来 的 策略 转发 。 
在 流行 为 中 ，permit 行为 和 其 他 流行 为 一 
起 配置 时 将 依次 执行 这 些 行为 ， 如 果 执 行 
deny 命令 ， 则 禁止 符合 流 分 类 规则 的 报 文 





通过 。deny 行为 和 其 他 流行 为 互 斥 ， 即 使 
配置 其 他 行为 也 不 会 生效 流量 统计 和 流 


配置 3 | permit | deny 镜像 除外 ) 
报 文 过 滤 例如 : [HUAWEI-behavior-bl] deny | 【注意 】 为 匹配 ACL 规则 的 报 文 指定 报 文 


过 滤 行 为 时 ， 如 果 此 ACL 中 的 rule 规则 配 
置 为 permit， 则 设备 对 此 报 文采 取 的 行为 
由 此 处 流行 为 中 配置 的 deny 或 permit 决 
定 ; 如 果 此 ACL 中 的 rule 规则 配置 为 deny， 
则 无 论 在 流行 为 中 配置 deny 或 permit 行 
为 ， 此 报 文 都 被 丢弃 














( 续 表 ) 


配置 重 标记 
(可 选择 配 
轿 一 个 或 多 
个 重 标记 
行为 ) 








remark 8021p [ 802/p-value | 
inner-8021p ] 

例如 : [HUAWEI-behaviorbl] 
remark 8021p 4 


将 符合 流 分 类 的 报 文 重新 标记 802.1p 优先 
级 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) 8021p-value: 二 选 一 参数 ， 用 来 指定 
重新 标记 的 802.1p 优先 级 值 ， 取 值 范围 为 
0 一 7 的 整数 

(2) inner-8021p: 二 选 一 选项 ， 指 定 重 标 
记 的 802.1p 优先 级 值 是 从 内 层 继 承 的 

缺 省 情况 下 ， 流 行为 中 没有 重 标 记 
VLAN 报 文 802.1p 优先 级 的 行为 ， 可 用 
undo remark 8021p 命令 在 流行 为 中 删 
除 重 标记 VLAN 报 文 802.1p 优先 级 的 
行为 

【注意 】remark 8021p inner-8021p 命令 仅 
能 在 入 方向 应 用 ， 包 含 remark 8021p 行为 
的 流 策略 应 用 在 接口 出 方向 时 ， 出 接口 
VLAN 必须 工作 在 带 标 签 方式 





remark dscp { dscp-name | 
dscp-value } 

例如 : [HUAWEI-behavior-bl] 
remark dscp afl3 


remark cvlan-id cvlan-id 
例如 : [HUAWEI-behavior-b1] 
remark cvlan-id 10 





将 符合 流 分 类 的 报 文 重新 标记 DSCP 值 ， 
在 S2700/3700 系列 中 仅 S2700EI2710SJI/ 
3700EI 系列 支持 本 命令 ， 在 S5700 系列 
交换 机 中 , S5700SI/5700LI/S700S-LI 系列 
交换 机 不 支持 本 命令 。 命 令 中 的 参数 说 明 
如 下 。 

(1)》 dscp-name: 二 选 一 参数 ， 指 定 重 标记 
为 对 应 名 称 的 DSCP 值 ， 可 以 是 ef、afll、 
afl2、 afl3、af21、 af22、af23、af31、af32、 
af33、af41、af42、af43、csl、cs2、cs3、 
Cs4、cs5、cs6、cs7 或 default 

(2) dscp-value: 二 选 一 参数 ， 指 定 重 标记 
为 对 应 DSCP 值 ， 取 值 范围 为 0 一 63 
缺 省 情况 下 ， 流 行为 中 没有 重 标记 卫 报 文 
的 DSCP 优先 级 的 行为 , 可 用 undo remark 
dsep 命令 在 流行 为 中 删除 重 标 记 IP 报 文 的 
DSCP 优先 级 的 行为 

将 符合 流 分 类 的 QinQ 报 文 重新 标记 内 
层 VLAN 标签 的 值 , 但 S2700/3700 系列 
交换 机 不 支持 本 命令 , 在 5700EI 系列 交 
换 机 上 ， 本 命令 不 支持 应 用 到 入 方向 。 
命令 中 的 cwian-id 参数 用 来 指定 重 标记 
后 的 内 层 VLAN ID， 取 值 范围 为 1 一 
4 094 

缺 省 情况 下 , 流行 为 中 没有 重 标记 QinQ 报 
文中 的 内 层 VLAN 标签 值 的 行为 ， 可 用 
undo remark cvlan-id 命令 在 流行 为 中 删除 
配置 重 标记 QinQ 报 文中 的 内 层 VLAN 标 
签 值 的 行为 











将 符合 流 分 类 的 报 文 重 标记 内 部 优先 级 
除 S2700-52P-El 和 S2700-52P- | 值 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
PWR-EI 之 外 的 其 他 S2700E1 | (1) local-precedence-name: 二 选 一 参数 ， 
系列 交换 机 ， 以 及 S5700SL | 指示 以 本 地 优先 级 名 称 重 标记 本 地 优先 
5700LLS700S-LI 系列 交换 机 : 级 , 取 值 可 为 af1、 af2、 af3、 af4、be、 cs6、 
remark local-precedence cs7 或 ef 
: ee | (2) focal-precedence-value: 二 选 一 参数 ， 
er 示 以 本 地 优先 级 值 重 标 记 本 地 优先 级 ， 
例如 ，[HUAWELbehaviorbl] | 取信 郊 国 为 07 的 台数 全 起 天 信和 
remark local-precedence 3 其 他 | 越 高 
S 系列 交换 机 (3) [ green | yellow | red ]: 可 选项 ， 指 定 
ee 所 重 标记 后 的 内 部 优先 级 对 应 的 报 文 颜色 
local-precedence-name | 天 Poy Wp 
local-precedence-value } 分 别 为 绿色 、 黄色 或 红色 
[green | yellow | red ] 缺 省 情况 下 ， 流 行为 中 没有 重 标 记 内 部 优 
例如 : [HUAWEI-behavior-bl] | 先 级 的 行为 ， 可 用 undo remark local- 
remark local-precedence 3 green | precedence 命令 在 流行 为 中 出 除 重 标记 内 
部 优先 级 的 行为 
将 符合 流 分 类 的 报 文 重 标 记 IP 优先 级 值 。 
仅 S$2700-52P-EI/2700-52P-PWR-EI2710SJ/ 
300SI3700EUS700/6700 系列 交换 机 支持 
remark ip-precedence 本 命令 ,参数 用 来 指定 重 标记 后 的 IP 优先 
ip-precedence 级 值 ， 取 值 范 围 为 0 一 7 的 整数 ， 值 越 大 ， 
例如 : [HUAWEI-behavior-b1] 优先 级 越 高 
remark ip-precedence 3 缺 省 情况 下 ， 流 行为 中 没有 重 标 记 报 文 的 
IP 优先 级 的 行为 ， 可 用 undo remark 
ip-precedence 命令 取消 标记 报 文 的 IP 优 
先 级 
将 符 人 台 流 分 类 的 报 文 重 标记 目的 MAC 地 
址 。 除 S2700SI /5700SIS5700LTI5700S-LI 
系列 外 的 其 他 所 有 S 系列 交换 机 均 支 持 本 
remark destination-mac 命令 。 参数 mac-address 用 来 指定 重 标记 
mac-address 后 的 目的 MAC 地 址 (必须 为 单 播 MAC 
例如 : [HUAWEI-behaviorbl] 地 址 )，H-H-H 形式 ， 每 个 H 代 表 4 个 16 
remark destination-mac 进 制 数字 
0050-b007-bed3 缺 省 情况 下 ， 流 行为 中 没有 重 标 记 报 文 目 
的 MAC 地 址 的 行为 ，undo remark 
destination-mae 命令 在 流行 为 中 删除 重 标 
记 报 文 目 的 MAC 地 址 的 行为 
将 符合 流 分 类 的 报 文 重 标记 VLAN 标签 
值 。 参数 用 来 指定 重 标记 后 的 VLAN ID， 
取 值 范围 为 1 一 4 094 
缺 省 情况 下 ， 流 行为 中 没有 重 标 记 VLAN 
报 文 的 VLAN 标签 值 的 行为 ， 可 用 undo 
remark vian-id 命令 在 流行 为 中 删除 重 标 
记 VLAN 报 文 的 VLAN 标签 值 的 行为 
【注意 】 只 要 在 流 策略 中 包含 remark 
Vlan-id 行为 ， 当 应 用 在 接口 出 方向 时 ， 出 
接口 必须 工作 在 带 标签 方式 





























remark vlan-id vian-id 
例如 : [HUAWEI-behavior-b1] 
remark vlan-id 




















| Re 和 [59 全 SS | | 





配置 重 定向 
(可 选择 配 
置 一 个 或 多 
个 重 定向 行 
为 ， 对 于 
S2700 系列 
交换 机 ， 只 


有 S2700- 
52P-EI 和 
S2700-52P- 
PWR-EI 系 
列 交换 机 支 
持 重 定向 
行为 ) 


redirect cpu 
例如 : [HUAWEI-behavior-b1] 
redirect cpu 


redirect ip-nexthop 
ip-address &<1-4> 

[ forced ] 

例如 : [HUAWEI-behavior-b]] 
redirect ip-nexthop 10.10.10.1 


redirect ip-multihop 
{nexthop ip-address } 
&<2-4> 

例如 : [HUAWELbehaviorbl] 
redirect ip-multihop nexthop 
13.1.42.1 nexthop 23.2.12.3 
nexthop 32.1.1.2 


将 符合 流 分 类 的 报 文 重 定向 到 CPU，S3700SI/ 
S700SIS700LIS700S-LI 系列 交换 机 也 不 支持 此 
命令 。 应 用 包含 本 流行 为 的 流 策略 后 ， 会 将 符合 
流 分 类 规则 的 报 文 重 定 向 到 CPU 

缺 省 情况 下 ,流行 为 中 没有 将 报 文 重 定向 到 CPU 
的 行为 ， 可 用 undo redireet 命令 在 流行 为 中 删 
除 重 定向 配置 

将 符合 流 分 类 的 报 文 重 定向 到 下 一 跳 ， 
S3700SUS700SUS700LIS700S-LI 系列 交换 机 也 不 
支持 此 命令 。 命令 中 的 参数 说 明 如 下 。 

(1) ip-address: 指定 重 定 向 的 下 一 跳 IP 地 址 
(2) &<1-4>: 表示 最 多 可 以 带 4 个 加 -address 参 
数值 

(3) forced: 指定 当下 一 跳 不 存在 的 时 候 ， 直 接 
丢弃 该 报 文 

【说 明 】〗 当 存在 多 个 下 一 跳 时 ， 设备 按照 主 备 方式 
对 报 文 进行 重 定向 转发 。 一 个 流行 为 中 最 多 可 以 
配置 4 个 下 一 跳 ， 设 备 根据 下 一 跳 的 配置 顺序 确 
定 主 备 链 路 ， 先 配置 的 下 一 跳 IP 地 址 优先 级 较 
高 。 配 置 的 第 一 个 下 一 此 IP 地 址 作为 主 用 链 路 ， 
其 他 链 路 作为 备用 链 路 。 当主 用 链 路 Down 之 后 ， 
则 自动 选取 优先 级 高 的 下 一 跳 作为 新 的 主 链 路 
缺 省 情况 下 , 流行 为 中 没有 将 报 文 重 定向 到 下 
一 跳 IP 地 址 的 行为 ， 可 用 undo redirect 命令 
在 流行 为 中 删除 重 定 向 配置 。 不 能 在 同一 流 策 
略 中 同时 配置 redirect ip-nexthop 和 remark 
destination-mac 流 行为 

将 符合 流 分 类 的 报 文 重 定向 到 配置 的 多 个 下 一 跳 
中 的 一 个 ，S3700SLS700SLS700LI/S700S-LI 系列 
交换 机 也 不 支持 此 命令 ， 命 令 中 的 参数 说 明 如 下 。 
(1) nexthop ip-adwress: 指定 重 定向 的 下 一 跳 正 
地 址 

(2) &<2-4>: 表示 最 少 要 带 2 个 nexthop 
ip-address 参数 值 ， 最 多 可 带 4 个 

【说 明 】〗 如 果 配 置 了 多 个 下 一 跳 ， 设 备 将 按照 等 
价 路 由 负载 分 担 方式 对 报 文 进行 重 定向 转发 , 即 
设备 按照 报 文 的 源 IP 地 址 ( 不 管 流量 大 小 ) 并 
根据 HASH 算法 在 多 个 下 一 跳 中 选择 一 个 进行 转 
发 ， 源 IP 地 址 相同 的 流量 ， 则 不 管 流量 多 大 都 
是 选择 同一 个 下 一 跳 转 发 ,使 用 重 定向 到 多 个 下 
一 跳 的 正常 转发 过 程 中 , 如 果 当 前 下 一 跳 对 应 的 
出 接口 状态 突然 为 Down， 或 路 由 突然 发 生 了 改 
变 , 设备 可 将 链 路 快速 切换 到 当前 可 用 的 某 个 下 
一 跳 对 应 的 出 接口 上 . 如 果 设 备 上 没有 命令 中 配 
置 的 下 一 跳 IP 地 址 所 对 应 的 ARP 表 项 ， 使 用 此 
命令 能 配置 成 功 , 但 重 定向 不 能 生效 ,设备 仍 按 
报 文 原来 的 目的 地 址 转发 , 直到 设备 上 有 对 应 的 
ARP 表 项 





配属 重 定向 
(可 选择 配 
置 一 个 或 多 
个 重 定向 行 
为 ， 对 于 
S2700 系列 
交换 机 ， 只 
有 S2700- 
52P-EI 和 
S2700-52P- 
PWR-EI 系 
列 交换 机 支 
持 重 定向 
行为 


配置 流 基 
监管 《根据 
设备 类 型 
选择 一 个 
配置 ， 但 
S2700S1 系 
列 不 支持 ) 





redirect ip-multihop { nexthop 
ip-address } &<2-4> 

例如 [HUAWEI-behavior-b1] 
redirect ip-multihop 

13.1.42.1 nexthop 23.2.12.3 
nexthop 32.1.1.2 


redirect interface interface-Npe 
imterface-number 

例如 : [HUAWEI-behavior-b1] 
redireet interface 
gigabitethernet 0/0/ 


除 S2700-52P-El 和 “S2700-52P- 
PWR-EI 之 外 的 其 他 S2700E1 
系列 交换 机 : 

car [ aggregation ]eir cir-value 
chs chs-value 


S2700-52P-EL2700-S2P-PWR- 
E12710S13700SV3700EVS700EL 
系列 交换 机 ; 

car [ aggregation Jcir cir-value[ pir 
pir-value] [ chs chs- value pbs phs- 
Value ][ green { discard pass[ remark- 


pass[ remark-dscp cscy» 
remark-8021p $02/p-pwecerdence ] } ] 
[red { discard | pass[ remark- 
dsep dscp-value | remark-8021p 
S021p-precedence ] } ] 


S5700LL/S700S-LI 系列 交换 机 : 
car cir cir-valuel pir pir-value ] 
[cbs chs-value pbs phbs-value] 
[ green pass ] [yellow | discard | 
pass [ remark-dscp dscp-value | 
remark-8021p 802/p-precedence ] } | 
[red 1 discard | pass[ remark- 
dsep dscp-value | remark-8021p 
S021p-precedence ] } ] 


S5700S1 系列 交换 机 : 

car [ aggregation ] cir cir-value 
[ pir pir-value ] [cbs chs-vailue pbs 
phs-walue] [green pass] [yellow 
{discard | pass[ remark-dscp 
dscp-value Iremark-8021p 802/p- 
precedence ] } ] [red {| discard | 
pass[ remark-dscep dscp-value | 
remark-8021p 802/p-precerlence ] } ] 


缺 省 情况 下 ， 流 行为 中 没有 将 报 文 重 定 
向 到 多 个 下 一 跳 IP 地 址 的 行为 ， 可 用 
undo redirect 命令 在 流行 为 中 删除 重 定 
向 配置 

不 能 在 同一 流 策略 中 同时 配置 redirect 
ip-multihop 和 remark destination-mac 流 行为 
将 符合 流 分 类 的 报 文 重 定 向 到 指定 接口 ， 

S3700S1 /5700S1/S700L1/S700S-L1 系列 交 
换 机 也 不 支持 此 命令 。 如 果 此 接口 Down 
了 ， 就 在 此 接口 丢 包 ， 流 量 不 会 切换 到 原 
转发 路 径 

缺 省 情况 下 ， 流 行为 中 没有 将 报 文 重 定 向 
到 指定 接口 的 行为 ， 可 用 undo redirect 命 
令 在 流行 为 中 删除 重 定 向 配置 


在 流行 为 中 创建 流量 监管 行为 ， 各 命令 中 
的 参数 和 选项 说 明 如 下 ， 
(1) aggregation: 可 选项 ， 指 定 所 配置 的 
CAR 为 聚合 CAR: 在 聚合 CAR 的 情况 下 ， 
同类 型 的 规则 应 用 到 多 个 接口 上 ， 上 只 占用 
-个 CAR 资源 , 这 些 接口 的 流量 都 受 这 个 
CAR 约束 
(2) cir-value: 指定 承诺 信息 速率 ， 即 保证 
能 够 通过 的 速率 ， 单 位 是 kbivs，。 
SSs700HIS700LUS700S-LIS710EI6700 系 
列 的 取 值 范围 为 : 8 一 10 000 000 的 整数 ; 
S2700/3700/5700S1S700EI 系列 的 取 值 范围 为 
的 一 10 000 000 的 由 数 ;:S7700/9300/9300/9700 
系列 的 取 值 范围 为 8 一 4294 967 295 的 整数 
(3) pir-value: 可 选 参 数 , 指定 峰值 信息 速 
党, 即 最 大 能 够 通过 的 速率 , 单位 是 kbits。 
它 的 取 值 范围 也 因为 不 同系 列 有 所 不 同 ， 
具体 同 cir-value 参数 ， 但 必须 大 于 或 等 于 
chs-value, 缺 省 情况 下 , pir-value 的 值 等 于 
cir-value 的 值 
(4) chs-value: 可 选 参数 ， 指 定 承 诺 突 发 尺 
寸 , 即 瞬 间 能 够 道 过 的 承诺 突 发 流量 ， 单 位 
是 byte。S2700 系列 的 取 值 范围 为 8 192 一 
4294 967 295 的 整数 ，S3700/5700/6700 系 
列 的 取 值 范围 为 4 000 一 4 294 967 295 的 整 
数 ，S7700/9300/9300/9700 系列 的 取 值 范围 
为 10000 一 4294967295 的 整数 。 在 
S2700/3700/570016700 系列 中 ， 如 果 
cir-value 握 4 000kbiVs， 则 cbs-value 的 缺 省 
值 为 4000byte; 如 果 cir-value>4 000kbiVs， 
则 cbs-valie 的 缺 省 值 等 于 cir=volue 的 值 ; 
在 S7700/9300/9300/9700 系列 , 单 令 牌 权时， 
chs-value 证 省 为 cir-valwe 的 188 倍 ; 双 令 牌 
桶 时 ，cbs-yalue 缺 省 为 cir-value 的 125 倍 





配置 流量 
监管 (根据 
设备 类 型 


选择 一 个 
配置 ， 但 
S2700S1 系 
列 不 支持 ) 


S5700H1S710E1/6700 交换 机 : 
car cir cir-value [ pir pir-value ] 
[cbs cbs-value pbs pbs-value ] 

[ green (discard | pass[ remark- 
dsep dscp-value | remark-8021p 
S8021p-precedence] } ] [yellow 
{ discard | pass[ remark-dscp 
dscp- value |remark-8021p802/p- 
precedence] } ] [ red { discard | 
pass[ remark-dscp dscp-value | 


remark-8021p 8021p-mecedence ] } ] 


S7700/9300/9300E/9700 系列 交 
换 机 : 

ear cir cir-valuel pir pir-value ] 
[cbs chs-value pbs pbs-value ] 
[share ] [ mode { color-blind | 
color-aware } ] [green! discard | 
pass[ service-class class color 
color ] } | yellow !{ discard | pass 
[ service-class class color color] } 
| red {discard | pass [ service-class 
class color color ] } ] 

例如 : [HUAWEI-behavior-bl]jcar 
cir 200000 pir 2500000 green 
Pass yellow pass red discard 





(5) phbs-value: 可 选 参数 ， 指 定 峰值 突 发 
尺寸 ， 即 瞬间 能 够 通过 的 峰值 突 发 流量 ， 
单位 是 byte。 S2700/3700/5700/6700 系列 的 
取 值 范围 为 4000 一 4 294 967 295 的 整数 ， 
S7700/9300/9300/9700 系列 的 取 值 范围 为 
10 000 一 4 294 967 295 的 整数 ,如 果 不 配置 
此 可 选 参数 ， 则 S2700/3700/5700/6700 系 
列 交换 机 缺 省 值 与 配置 的 cir-value 和 
Pir-value 有 关 : 如 果 未 配置 pir-value 参数 ， 
且 cir-value*1254 000kbius， 则 pbs-value 
的 缺 省 值 为 4000byte ; 如 果 
pir-value*125>4 000kbius， 则 ppbs-value 的 
缺 省 值 等 于 cir-yalue 的 125 倍 。 如 果 配 置 
了 pir-value 参数 ， 且 pir-value*125 三 
4000kbitys ， 则 pbs-value 的 缺 省 值 为 
4 000byte; 如 果 pir-value*125>4 000kbit/s， 
则 pbs-value 的 缺 省 值 等 于 pir-value 的 125 
倍 。 在 S7700/9300/9300/9700 系列 中 ， 如 
果 不 配置 pir-value 参数 , 则 pbs-value 缺 省 
为 cir-value 的 313 倍 ; 如 果 配 置 pir-value 
参数 ， 则 pbs-value 缺 省 为 pir-value 的 
125 倍 

(6) green、yellow、red: 可 选项 ， 指 定 
报 文 的 颜色 ， 由 本 命令 中 的 参数 ebs 
chs-value、pbs pbs-value 确定 。 缺 省 情况 
下 ， 绿 色 、 黄 色 报 文 被 允许 通过 ， 红 色 报 
文 被 丢弃 

(7) discard | pass: 表示 丢弃 报 文 或 者 允许 
报 文通 过 

(8) remark-8021p 8021p-precedence: 二 选 
一 参数 ,指定 重 标记 报 文 的 802.1p 优先 级 ， 
取 值 范围 为 0~7 的 整数 

(9) remark-dscp dscp-value: 二 选 一 参数 ， 
指定 重 标 记 报 文 的 DSCP 优先 级 ， 取 值 范 
围 为 0 一 63 的 整数 

(10) service-class class: 可 选 参数 ， 指 定 
服务 等 级 ， 取 值 可 为 afl、af2、af3、af4、 
be、cs6、cs7、ef 八 种 服务 等 级 

(11 ) eolor color: 可 选 参数 ， 指 定 由 
service-class class 参数 配置 的 服务 等 级 所 
对 应 的 颜色 ,， 取 值 包括 green、yellow、 red 
三 种 颜色 (优先 级 依次 降低 )， 报 文 最 终 的 
颜色 是 由 DiffServ 域 中 定义 的 报 文 颜色 和 
流量 监管 中 定义 的 报 文 颜色 共同 决定 ， 取 
优先 级 低 的 颜色 

缺 省 情况 下 , 流行 为 中 没有 流量 监管 行为 ， 
可 用 undo car 命令 在 流行 为 中 删除 流量 监 
管 行为 




































为 的 配置 信息 。 


11.4.3 配置 流 策 略 











配置 任务 说 明 
i R 
引号 ， 取 值 范围 不 同系 列 有 所 不 同 : 
S2700/5700SI5700S-LI5700LI6700 系列 
配置 仅 为 1，S5700HI5710EI 系列 的 取 值 范围 
流 镜像 mirroring to observe-port 是 1 一 2 的 整数 ， S3700/5700EI 系列 的 取 值 
COODY observe-port-index 范围 为 1 了 的 束 数 ， S7700/9300/9300E/ 
系列 例如 : [HUAWEI-behavior-b1] 9700 系列 的 取 值 范围 为 1 一 8 的 整数 
不支 持 ) mirroring to observe-port 2 需要 先 执行 observe-port (本 地 镜像 ) 
observe-port (远程 镜像 ) 命令 创建 上 
口 , 才能 在 流行 为 中 配置 镜像 到 该 监控 端 
缺 省 情况 下 ， 系 统 未 配置 将 满足 规则 的 流 
镜像 到 监控 端口 ， 可 用 undo mirroring 命 
令 取消 将 满足 规则 的 流 镜像 到 观察 端口 
配置 statistic enable Er Si 但 2 
忆 置 地。 人 缺 省 情况 下 ， 流 行为 中 未 使 能 流量 统 
流量 统计 | 8 ee 计 功能 ， 可 用 undo statistic enable 命令 去 
使 能 流 策略 的 统计 功能 
在 流行 为 中 去 使 能 MAC 地 址 学 习 功能 ， 但 
S2700/3700 系列 中 仅 S2700EI2710SI 3700EI 
ca 系列 支持 ， 在 S5700 系列 交换 机 中 
配置 禁止 maeadiress learnleg .disable S5700SIS700LIS700S-LI 系列 交换 机 不 支持 
MAC 地 址 9 例如 : [HUAWEI-behavior-b1] 缺 省 情况 下 ， 流 行为 中 的 MAC 地 址 学 习 
学 习 mac-address learning disable 条 为 中 国 i 
功能 处 于 使 能 状态 ，undo mac-address 
learning disable 命令 使 能 流行 为 中 的 
MAC 地 址 学 习 功 能 
配置 封装 外 层 VLAN 标签 ， 仅 S7700/ 
9300/9300E/9700 系列 支持 , 主要 用 于 实现 基于 
配置 封装 nest top-most vlan-id vlan-id 流 的 灵活 QinQ 功能 。 参 数 用 来 指定 要 封装 的 
外 层 VLAN | 10 | 例如 : [HUAWEI-behavior-b1] 外 层 VLANID， 取 值 范围 为 1 一 4094 的 整数 
标签 nest top-most vlan-id 3 缺 省 情况 下 ， 流 行为 中 没有 配置 创建 外 层 
VLAN 标签 的 行为 , 可 用 undo nest 命令 在 
流行 为 中 取消 创建 外 层 VLAN 标签 的 行为 

















配置 好 流行 为 后 可 以 通过 display traffic behavioruser-defined [ behavior-name ] 任意 视图 命令 查看 流行 





通过 配置 流 策略 ， 将 流 分 类 和 流行 为 绑 定 起 来 ， 形 成 完整 的 策略 。 这 一 步 的 配置 很 简单 ， 只 需 先 在 系 








23 A 





统 视 图 下 通过 traffic policy traffic-policy-name [match-order { auto | config } ] 命令 创建 流 策 


视图 ， 然 后 在 流 策略 视图 下 通过 classifier classifier-name behavior behavior-name 命令 将 前 本 








类 和 流行 为 进行 关联 即 可 。 


traffic policy 命令 中 的 参数 和 选项 说 明 如 下 。 


(Cl1) traffic-policy-name: 指定 创建 的 流 策 略 的 名 称 ， 为 1 一 31 个 字符 ， 
(2) [match-order {auto | config } ] : 可 选项 ， 指 定 流 策略 ] 
流 策略 规则 匹配 顺序 是 由 系统 预先 指定 的 流 分 类 优先 级 决定 的 ， 该 优 





流 分 类 > 基于 二 层 信息 流 分 类 > 基于 三 层 信 息 流 分 类 ; 如 
是 由 流 分 类 配置 的 先后 顺序 决定 的 。 但 在 S2700/3700/5700S1/5700EI/5700LI/5700S-LI 系 列 交 换 机 中 不 支持 











此 选项 。 
缺 省 情况 






































在 相应 的 视图 
命令 完成 删除 。 


【示例 1】 创 建 根 据 流 分 

















b1l。 
































四 


各 ， 并 进入 流 策略 














i 两 节 配 置 的 流 分 





不 支持 空格 ， 








区 分 大 小 写 。 


规则 匹配 顺序 ， 如 果 选 择 二 选 一 选项 auto， 则 






































上 级 排序 如 下 : 基于 二 层 和 三 层 信 息 
果 选 择 二 选 一 选项 config， 则 流 策略 规则 匹配 顺序 





下 ， 系 统 未 创建 任何 流 策略 ， 可 用 undo traffic policy policy-name 命 令 删 除 指定 的 流 策略 。 但 如 
上 流 策略 已 经 应 用 到 全 局 、 接 口 板 、 接 口 或 VLAN， 则 一 般 不 允许 删 
下 执行 undo traffic-policy 命 令 取消 对 该 策略 的 应 用 ， 


除 该 策略 。 如 果 不 得 不 删除 ， 则 需要 先 
然后 到 系统 视图 下 执行 undo traffic policy 


类 配置 顺序 进行 规则 匹配 的 流 策略 p1， 并 关联 已 创建 的 流 分 类 c1 和 流行 为 


<HUAWEI> system-view 
[HUAWEI] traffic policy pl match-order config 
[HUAWEI-trafficpolicy-p1] classifier cl behavior b1 

【示例 2】 删 除 已 经 应 用 在 接口 GE1/0/1 入 方向 上 的 流 策略 pl1。 
<HUAWEI>system-view 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthermet1/0/1] undo traffic-policy inbound 
[HUAWEI-GigabitEthernet1/0/1] quit 
[HUAWEI] undo traffic policy pl1 



































11.4.4 应 用 流 策略 











绑 定 了 流行 为 与 流 分 类 的 完整 流 策略 可 应 用 到 交换 机 全 局 、 接 口 或 VLAN 上 ， 实 现 针对 不 同业 务 的 差分 
服务 。 下 面 分 别 介绍 不 同 应 用 方式 的 具体 配置 方法 。 

说 明 
在 报 文 同时 匹配 多 个 流 策略 时 。 

e 如 果 这 些 流 策略 的 分 类 规则 属于 同一 类 ， 即 匹配 规则 同属 于 自 定义 ACL 规则 、 二 层 规则 或 三 层 规则 
时 ， 只 会 有 一 个 流 策略 生效 ， 生 效 的 优先 级 与 应 用 的 对 象 有 关 ， 生 效 优 先 级 ， 接口 >VLAN> 全 局 。 

e 如 果 这 些 流 策略 的 分 类 规则 不 属于 同一 类 ， 对 于 彼此 不 冲突 的 行为 ， 流 策略 都 会 生效 ; 对 于 彼此 冲 
突 的 行为 ， 流 策略 生效 优先 级 与 规则 有 关 ， 生 效 优先 级 : 自 定 义 ACL 规 则 > 二 层 规则 + 三 层 规则 > 二 层 规则 > 
三 层 规则 。 

1. 在 全 局 应 用 流 策略 
在 全 局 应 用 流 策 略 是 指 在 交换 机 所 有 端口 的 某 个 方向 上 应 用 所 创建 的 流 策 略 。 不 同 $ 系 列 交换 机 的 全 局 
应 用 流 策略 配置 命令 有 所 不 同 。 

(1) 在 S2700/3700 系列 交换 机 中 (S2700SI 交换 机 不 支持 流 策略 应 用 ) 。 在 系统 视图 下 使 用 traffic- 
policy policy-name global inbound 命令 在 交换 机 上 上 所 有 端口 入 方向 应 用 流 策 略 。 缺 省 情况 下 ， 没 有 应 用 任何 
流 策略 ， 可 用 undo traffic-policy global inbound 命令 删除 在 全 局 应 用 的 流 策略 。 

(2) 在 S5700/6700/7700/9300/9300E/9700 系列 交换 机 中 。 在 系统 视图 下 使 用 traffic-policypolicy- 
nameglobal { inbound | outbound } [ slot slot-id ] 命令 交换 机 或 某 个 单 板 上 所 有 端口 入 方向 或 出 方向 应 用 流 策 
略 。 

说 明 

全 局 或 单 板 的 每 个 方向 上 只 能 应 用 一 个 流 策略 ， 如 果 在 全 局 某 方向 应 用 了 流 策 略 ， 则 不 能 在 单 板 的 该 
方向 上 再 次 应 用 流 策 略 ， 指 定单 板 在 某 方 向 应 用 流 策 略 后 ， 也 不 能 在 全 局 的 该 方向 上 再 次 应 用 流 策 略 。 
在 全 局 应 用 ， 系 统 对 进入 设备 的 所 有 匹配 流 分 类 规则 的 入 方向 或 出 方向 报 文 流 实施 策略 控制 ; 在 单 板 
应 用 ， 系 统 对 进入 该 单 板 的 所 有 匹配 流 分 类 规则 的 入 方向 或 出 方向 报 文 流 实施 策略 控制 。 
缺 省 情况 下 ， 没 有 应 用 任何 流 策 略 ，undo traffic-policy [ policy-name ] global { inbound | outbound } [ slot 
slot-id ] 命令 用 来 删除 在 全 局 应 用 的 流 策略 。 

【示例 1】 创 建 流 策略 p1 并 在 该 策略 下 关联 已 创建 的 流 分 类 c1 和 流行 为 pb1， 然 后 在 全 局 入 方向 上 应 用 该 
策略 。 

<HUAWEI> system-view 

[HUAWEI] traffic policy p1 

















































































































































































































所 | 














































































































































































































各 
































ay 











do 























































































































[HUAWEI-trafficpolicy-p1] classifier cl behavior b1 

[HUAWEI-trafficpolicy-p1] guit 

[HUAWEI] traffic-policy p1 global inbound 

2. 在 接口 上 应 用 流 策略 

在 接口 上 应 用 流 策 略 是 在 具体 接口 视图 下 进行 配置 的 。 每 个 接口 的 每 个 方向 上 只 能 应 用 一 个 流 策 略 ， 
但 同一 个 流 策略 可 以 同时 应 用 在 不 同 接口 的 不 同方 向 。 应 用 后 ， 系 统 对 流 经 该 接口 并 匹配 流 分 类 中 规则 的 
入 方向 或 出 方向 报 文 实施 策略 控制 。 但 是 流 策略 对 VLAN 0 的 报 文 不 生效 。 

建议 不 要 在 Untagged 类 型 接口 出 方向 上 应 用 包含 有 remark 8021p、remark cvlan-id、remark vlan-id 等 行 
为 的 流 策略 ， 否 则 ， 可 能 导致 报 文 内 容 出 错 。 不 同 S 系 列 所 使 用 的 配置 命令 也 有 所 不 同 ， 下 面 分 别 予 以 介 


绍 。 







































































































































































(1) 在 S2700-52P-EI2700-52P-PWR-EI/2710SI3700SI/3700EI 系列 交换 机 上 。 使 用 traffic-policy policy- 
name inbound 命 令 在 接口 的 入 方向 应 用 流 策 略 。 缺 省 情况 下 ， 没 有 应 用 任何 流 策略 ， 可 用 undo traffic-policy 
inbound 命 令 取消 在 接口 入 方向 上 应 用 流 策略 。 

(2) 在 其 他 S 系列 交换 机 ( S2700SI 交换 机 不 支持 流 策略 应 用 ) 上 。 使 用 traffic-policypolicy-name { 
inbound | outbound } 命 令 在 接口 的 出 方向 或 者 入 方向 应 用 流 策略 。 但 只 有 在 流行 为 中 配置 了 流 镜像 功能 ， 才 
可 以 将 流 策 上 略 应 用 于 出 方向 ， 即 出 方向 流 策略 只 支持 流 镜像 功能 。 

缺 省 情况 下 ， 接 口上 没有 应 用 任何 流 策略 ， 可 用 undo traffic-policy { inbound |outbound } 命 令 取消 在 接 
口 入 方向 或 出 方向 上 应 用 流 策 略 。 

【示例 2】 创 建 流 策略 p1 并 在 该 策略 下 关联 已 创建 的 流 分 类 c1 和 流行 为 bD1， 然 后 在 GE0/OV1 接 口 入 方向 
上 应 用 该 策略 。 

<HUAWEI> system-view 

[HUAWEI] traffic policy p1 

[HUAWEI-trafficpolicy-p1] classifier clbehavior b1 

[HUAWEI-trafficpolicy-p1] guit 

[HUAWEI] interface gigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] traffic-policy pl inbound 

3. 在 VLAN 上 应 用 流 策略 
在 VLAN 上 应 用 流 策略 必须 在 对 应 的 VLAN 视 图 下 进行 配置 。 应 用 后 ， 系 统 对 属于 该 VLAN 并 匹配 流 分 
类 中 规则 的 入 方向 报 文 实施 策略 控制 。 但 是 如 果 匹 配 到 VLAN 0 报 文 ， 则 流 策略 不 生效 。 同 样 不 同 S 系 列 交 
换 机 所 使 用 的 配置 命令 有 所 不 同 ， 下 面 分 别 予 以 介绍 。 

(1) 在 S2700/3700 系列 交换 机 中 (S2700SI 交换 机 不 支持 流 策略 应 用 ) 。 在 系统 视图 下 使 用 traffic- 

policy policy-name global inbound 命 令 在 加 入 了 对 应 VLAN 的 接口 入 方向 上 应 用 流 策略 。 缺 省 情况 下 ， 没 有 应 
任何 流 策 略 ， 可 用 undo traffic-policy inbound 命 令 取消 在 加 入 了 对 应 VLAN 的 接口 入 方向 上 应 用 流 策略 。 
(2) 在 其 他 S 系列 交换 机 ( S2700SI 交换 机 不 支持 流 策略 应 用 ) 上 。 使 用 traffic-policypolicy-name { 
inbound | outbound } 命 令 在 加 入 了 对 应 VLAN 的 接口 入 方向 或 者 出 方向 应 用 流 策略 。 缺 省 情况 下 ， 没 有 应 用 
任何 流 策略 ， 可 用 undo traffic- policy { inbound | outbound } 命 令 取消 在 加 入 了 对 应 VLAN 的 接口 入 或 出 方向 
上 应 用 流 策 略 。 
【示例 3】 创 建 流 策略 p1 并 在 该 策略 下 关联 已 创建 的 流 分 类 c1 和 流行 为 b1， 然 后 在 VLAN 100 的 入 方向 
上 应 用 该 策略 。 
<HUAWEI>system-view 
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[HUAWEI] traffic policy p1 
[HUAWEI-trafficpolicy-p1] classifier cl behavio 
[HUAWEI-trafficpolicy-p1] quit 

[HUAWEI] vlan 100 

[HUAWEI-vlan100] traffic-policy pl inbound 





11.4.5 基于 复杂 流 分 类 的 优先 级 重 标记 配置 示例 
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本 示例 拓扑 结构 如 图 11-7 所 示 ， 企 业 分 支 机 构 1 和 企业 分 支 机 构 2 通 过 Switch 连 接 到 外 部 网 络 设备 ， 其 中 
企业 分 支 机 构 1 属 于 VLAN100， 企 业 分 支 机 构 2 属 于 VLAN200。 现 希望 分 支 机 构 1 上 送 的 数据 报 文 能 够 得 到 
更 好 的 QoS 保 证 ， 实 现 差分 服务 。 

Core Network 
Router 
GE0/0/3 
GEO0/0/1 : GE0/0/'2 
Switch 
VLAN 100 VLAN 200 
& 
企业 分 支 机 构 1 企业 分 支 机 构 2 
图 11-7 基于 复杂 流 分 类 的 优先 级 重 标记 配置 示例 拓扑 结构 
1. 基本 配置 思路 


























本 示例 要 区 分 不 同 分 支 机 构 的 VLAN 报 文 优先 级 ， 所 以 可 采用 




















QoS 流 策略 中 的 重 标记 报 文 的 802.1p 优 





月 
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略 ”4 个 配置 任务 ，F 
(1) 在 Switch 
(2) 在 Switch 














J] 得 出 本 示例 的 基 















































F: 配 置 流 分 类 ， 实 现 基 汪 

















(3) 在 Switch 上 配置 流行 为 ， 将 企业 分 支 机 构 1 和 企业 分 支 机 构 2 上 送 的 报 文 的 802.1p 优 ## 
支 机 构 1 的 优先 级 高 于 企业 分 支 机 构 2。 
(4) 在 Switch 上 配置 流 策略 ， 绑 定 已 经 配置 好 的 流行 为 和 流 分 类 ， 





标记 为 4 和 2， 实 现 企业 分 





























入 方向 上 ， 实 现 差 分 服务 。 
2. 有 具体 配置 步骤 
(1) 在 Switch 上 创建 VLAN100 和 VLAN200。 
<HUAWEI>system-view 
[HUAWEI] sysname Switch 
[Switch] vlan batch 100 200 






































Et 级 的 方式 实现 差分 服务 。 根 据 QoS 流 策略 的 “定义 流 分 类 ”、 
本 配置 思路 如 下 。 

上 创建 VLAN， 并 配置 各 接口 类 型 为 tunk， 实 现 企业 分 支 机 构 能 通过 Switch 访问 网 络 。 
FVLAN ID 对 报 文 进 











日 流 策 





“定义 流行 为 " “创建 流 策略 ”和 “应 月 














行 分 类 。 





E 级 分 别 重 





并 应 用 到 接口 GE0/0/1 和 GE0/0/2 的 























(2) 配置 GE0/0/1、GE0/0/2 和 GE0/0/3 接 口 




















的 类 型 为 Trunk， 并 将 GE0/0/1 接 口 








GE0/0/2 接 口 加 入 VLAN200，GE0/0/3 接 口 加 入 VLAN100 和 VLAN200。 
[Switch] interfacegigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type trunk 





[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 100 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interfacegigabitethernet 0/0/2 


[Switch-GigabitEthernet0/0/2] port link-type trunk 


[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 200 
[Switch-GigabitEthernet0/0/2] quit 
[Switch] interface gigabitethernet 0/0/3 


[Switch-GigabitEthernet0/0/3] port link-type trunk 
[Switch-GigabitEthernet0/0/3] port trunk allow-pass vlan 100 200 
[Switch-GigabitEthernet0/0/3] quit 





(3) 在 Switch 





























[Switch] traffic classifier c1 operator and 


[Switch-classifier-c1] if-match vlan-id 100 


[Switch-classifie 


r-c1] guit 


[Switch] traffic classifier c2 operator and 


[Switch-classifier-c2] if-match vlan-id 200 


[Switch-classifie 
(4) 在 Switch 
802.1p 优 先 级 为 4 和 2 





T-c2] guit 





























加 入 VLAN100, 将 


上 定义 并 配置 流行 为 bl、b2， 分 别 重 标记 分 支 机 构 1 和 分 支 机 构 2 的 VLAN 报 文 的 
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[Switch] traffic behaviorb1 
[Switch-behavior-b1] remark 8021p 4 
[Switch-behavior-b1] guit 

[Switch] traffic behaviorb2 
[Switch-behavior-b2] remark 8021p 2 
[Switch-behavior-b2] guit 


(5) 在 Switch 上 创建 流 策略 p1， 将 前 面 





GE0/0/1 和 GE0/0/2 接 
































口 的 入 方向 - 


[Switch] traffic policy p1 


[Switch-trafficpolicy-p1] classifier cl behaviorb1 





上 ， 对 报 文 进 


[EN 




















定义 的 流 分 类 和 对 应 的 流行 为 进行 绑 定 ， 并 ; 





标记 。 


[Switch-trafficpolicy-p1] classifier c2 behaviorb2 


[Switch-trafficpolicy-p1] guit 


[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] traffic-policy pl inbound 
[Switch-GigabitEthernet0/0/1] quit 

[Switch] interface gigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] traffic-policy pl inbound 


:定义 并 配置 流 分 类 cl1、c2， 对 来 自 企 业 分 支 机 构 的 报 文 按照 其 VLAN ID 进 行 分 类 。 





日 到 


| quit 
配置 好 后 ， 可 以 通 








体 如 下 所 示 。 











过 display traffic classifier user-defined 命 令 查看 流 分 类 的 配置 信息 ， 验 证 配置 结果 ， 


<Switch>display traffic classifier user-defined 


User Defined Classifier Information: 


Classifier: 


C2 


Operator: AND 
Rule(s) : if-match vlan-id 200 


Classifier: 


cl 


Operator: AND 
Rule(s) : if-match vlan-id 100 


Total classifier number is 2 


也 可 以 通过 指 


定 具 体 的 流 策略 名 查看 流 策略 的 配置 信息 ， 有 具体 如 下 所 示 。 








<Switch>display traffic policy user-defined p1 


User Defined Traffic Policy Information: 


Policy: pl 


Classifier: cl 
Operator: AND 
Behavior: bl 


Remark: 
Remark 8021p 4 
Classifier: c2 
Operator: AND 
Behavior: b2 


Remark: 
Remark 8021p 2 








11.4.6 基于 复杂 流 分 类 的 流量 统计 配置 示例 

















本 示例 拓扑 结构 如 图 11-8 所 示 ，PC1 的 MAC 地 址 为 0000-0000-0003， 





上 。 现 希望 Switch 对 源 MAC 为 0000-0000-0003 的 报 文 进行 流量 统计 。 








GEO/0/1 GE0/0/2 













20.1.20.1/24 RR 
PC1 Switch Route 
MAC:0000-0000-0003 
图 11-8 流量 统计 配置 示例 拓扑 结构 


1. 基本 配置 思路 分 析 
































本 示例 采 | 











包含 流量 





统计 行为 的 QoS 流 策略 方式 实现 流量 统计 《还 是 QoS 流 策略 的 


的 ) ， 具 体 配 置 思路 如 下 。 


它 连接 在 Switch 的 GE0/0/1 接 


















































LL 





大 配置 任务 进行 























(1) 配置 各 接口 ， 实 现 Switch 与 Router、PC1 互 通 。 
(2) 配置 二 层 ACL 规 则 ， 匹 配 源 MAC 为 0000-0000-0003 的 报 文 。 
(3) 定义 流 分 类 ， 实 现 基于 上 述 ACL 规 则 对 报 文 进行 分 类 。 
(4) 定义 流行 为 ， 实 现 对 满足 规则 的 报 文 进行 流量 统计 。 
(5) 创建 流 策略 ， 绑 定 上 述 流 分 类 和 流行 为 ， 并 应 用 到 GE0/Q/1 接 口 的 入 方向 ， 实 现 对 该 接口 收 到 的 
源 MAC 为 0000-0000-0003 的 报 文 进行 流量 统计 。 
2. 具体 配置 步 又 
(1) 在 Switch 上 创建 VLAN20。 
<HUAWEI>system-view 
[HUAWEI] sysname Switch 
[Switch] vlan 20 
[Switch-vlan20] quit 
(2) 配置 GE0/0/1 接 口 为 Access 类 型 接口 ， GE0/0/2 接 口 为 Trunk 类 型 接口 ， 并 将 GE0/001 和 GE0/0/2 加 入 
VLAN20。 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type access 
[Switch-GigabitEthernet0/0/1] port default vlan 20 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interfacegigabitethernet 0/0/2 




























































































































































































[Switch-GigabitEthernet0/0/2] port link-type trunk 
[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20 
[Switch-GigabitEthernet0/0/2] quit 
(3) 创建 VLANIF20， 并 配置 IP 地 址 20.1.20.2/24( 需 要 配置 Router 与 Switch 对 接 的 接口 JP 地 址 在 同一 网 
段 ， 如 20.1.20.1/24) 。 
[Switch] interface vlanif20 
[Switch-Vlanif20] ip address 20.1.20.2 24 
[Switch-Vlanif20] quit 
(4) 在 Switch 上 创建 编码 为 4000 的 二 层 ACL， 匹 配 源 MAC 为 0000-0000-0003 的 报 文 。 
[Switch] acl 4000 
[Switch-acl-L2-4000] rule permit source-mac0000-0000-0003 ffff-ffff-ffff 
[Switch-acl-L2-4000] quit 
(5) 在 Switch 上 定义 流 分 类 cl1， 匹 配 规则 为 ACL 4000。 
[Switch] traffic classifier c1 operator and 
[Switch-classijfier-c1] if-match acl 4000 













































































[Switch-classifier-c1] quit 
(6) 在 Switch 上 定义 流行 为 b1， 并 配置 流量 统计 行为 。 
[Switch] traffic behaviorb1 


[Switch-behavior-b1] statistic enable 











[Switch-behavior-b1] quit 
(7) 在 Switch 上 创建 流 策略 p1， 将 流 分 类 和 对 应 的 流行 为 进行 绑 定 。 

















[Switch] traffic policy p1 
[Switch-trafficpolicy-p1] classifier cl behaviorb1 
[Switch-trafficpolicy-p1] quit 

(8) 将 流 策略 p1 应 用 到 GEO/OV1 接 口 入 方向 。 
[Switch] interfacegigabitethernet 0/0/1 





[Switch-GigabitEthernet0/0/1] traffic-policy pl inbound 

[Switch-GigabitEthernet0/0/1] quit 

配置 好 后 ， 可 通过 display traffic classifier user-defined 命 令 查 看 流 分 类 的 配置 信息 ， 验 证 配置 结果 ， 通 过 
display traffic policy user-defined 命 令 查 看 流 策略 的 配置 信息 ， 具 体 如 下 。 


<Switch>display traffic classifier user-defined 






















































































User Defined Classifier Information: 
Classifier: cl 
Operator: AND 
Rule(s) : if-match acl 4000 
Total classifier number is 1 
<Switch>display traffic policy user-defined p1 
User Defined Traffic Policy Information: 
Policy: pl 
Classifier: cl 
Operator: AND 
Behavior: bl 
statistic:enable 
可 通过 display traffic policy statistics interface 命 令 查 看 接口 上 的 流量 统计 信息 ， 具 体 如 下 。 
<Switch>display traffic policy statistics interfacegigabitethernet0/0/1 inbound 
































Interface: GigabitEthernet0/0/1 
Traffic policy inbound: pl1 
Rule number: 1 


Current status: OK! 


Board:0 
Item Packets Bytes 
Matched 0 - 
+--Passed 0 - 
+--Dropped 0 - 
+--Filter 0 - 
+--CAR 0 - 











11.4.7 大 于 复杂 流 分 类 的 报 文 过 波 















































本 示例 拓扑 结构 如 图 11-9 所 示 ， 企 业 用 户 通过 SwitchA 的 GE0/0/2 接 口 连接 到 外 部 网 络 设备 。 不 同业 务 的 



































报 文 在 LSW 侧 使 用 802.1p 优先 级 进行 标识 ， 当 报 文 从 GE0/0/2 接 口 到 达 外 部 网 络 时 ， 用 户 希 望 能 够 对 数据 
业务 报 文 进行 过 滤 ， 优 先 保证 话音 和 视频 业务 的 业务 体验 。 
1. 基本 配置 思路 分 析 
本 示例 是 采用 802.1p 优 先 级 过 滤 的 流行 为 来 实现 报 文 过 滤 的 ， 上 有 具体 配置 思路 如 下 。 
(1) 配置 各 接口 ， 实 现 企业 用 户 能 通过 SwitchA 访 问 外 部 网 络 。 
(2) 定义 流 分 类 ， 实 现 基于 802.1p 优 先 级 对 报 文 进行 分 类 。 
(3) 定义 流行 为 ， 实 现 对 满足 规则 的 报 文 进行 禁止 或 允许 行为 。 
(4) 创建 流 策 略 ， 绑 定 上 述 定义 的 流 分 类 和 流行 为 ， 并 应 用 到 GEO/O/1 接 口 的 入 方向 ， 实 现 报 文 过 
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图 11-9 报 文 过 滤 配 置 示例 拓扑 结构 








2. 有 具体 配置 步骤 
(1) 在 Switch 上 创建 VLAN10。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] vlan 10 
[SwitchA-vlan10] guit 
(2) 配置 SwitchA 上 接口 GE1/0/1 和 GE0/0/1 为 Truank 类 型 接口 ， 并 加 入 VLAN10 (需要 同时 配置 LSW 与 
SwitchA 对 接 的 接口 为 Trunk 类 型 ， 并 加 入 VLAN10) 。 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type trunk 
[SwitchA-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type trunk 
[SwitchA-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 
[SwitchA-GigabitEthernet0/0/2] quit 
(3) 创建 VLANIF10， 并 为 VLANIF10 配 置 IP 地 址 192.168.2.1/24( 需 要 同时 配置 Router 与 SwitchA 对 接 
的 接口 PP 地 址 在 同一 网 段 ， 如 192.168.2.2/24) 。 
[SwitchA] interface vlanif10 
[SwitchA-Vlanif10] ip address 192.168.2.1 24 
[SwitchA-Vlanif10] quit 
(4) 在 SwitchA 上 定义 并 配置 流 分 类 c1、c2、c3， 对 报 文 按照 802.1p 优 先 级 进行 分 类 。 
[SwitchAj] traffic classifier c1 
[SwitchA-classifier-c1] if-match 8021p 2 












































































































































[SwitchA-classifier-c1] quit 
[SwitchAj] traffic classifier c2 
[SwitchA-classifier-c2] if-match 8021p 5 
[SwitchA-classifier-c2] quit 
[SwitchAj] traffic classifier c3 
[SwitchA-classifier-c3] if-match 8021p 6 
[SwitchA-classifier-c3] guit 
(5) 在 SwitchA 上 定义 流行 为 b1， 并 禁止 行为 ， 定 义 流 行为 b2 和 b3， 并 允许 行为 。 
[SwitchAj] traffic behavior bl1 
[SwitchA-behavior-b1] deny 
[SwitchA-behavior-b1] quit 
[SwitchAj] traffic behaviorb2 
[SwitchA-behavior-b2] permit 
[SwitchA-behavior-b2] quit 
[SwitchAj] traffic behavior b3 
[SwitchA-behavior-b3] permit 
[SwitchA-behavior-b3] quit 
(6) 在 SwitchA 上 创建 流 策略 pl1， 将 流 分 类 和 对 应 的 流行 为 进行 绑 定 并 将 流 策略 应 用 到 GE0/0/1 接 口 的 
入 方向 上 ， 对 报 文 进行 过 滤 。 
[SwitchA] traffic policy p1 















































[SwitchA-trafficpolicy-p1] classifier cl1 behaviorb1 

[SwitchA-trafficpolicy-p1] classifier c2 behaviorb2 

[SwitchA-trafficpolicy-p1] classifier c3 behaviorb3 

[SwitchA-trafficpolicy-p1] quit 

[SwitchA] interfacegigabitethernet 0/0/1 

[SwitchA-GigabitEthernetO/O/1] traffic-policy pl inbound 

[SwitchA-GigabitEthernet0/0/1] quit 

配置 好 后 ， 可 通过 display traffic classifier user-defined 命 令 查 看 流 分 类 的 配置 信息 验证 配置 结果 ， 具 体 如 
下 。 从 输出 信息 可 以 看 出 每 个 分 类 中 的 各 个 流 分 类 规则 。 


<SwitchA>display traffic classifier user-defined 





















































User Defined Classifier Information: 

Classifier: c2 

Operator: AND 

Rule(s) : if-match 8021p 5 
Classifier: c3 

Operator: AND 

Rule(s) : if-match 8021p 6 
Classifier: cl 

Operator: AND 

Rule(s) : if-match 8021p 2 


上 信息 中 可 以 看 














具体 如 下 。 从 输 H 
































Total classifier number is 3 

可 通过 display traffic-policy applied-record 命 令 查 看 流 策略 的 应 用 信息 ， 

出 流 策略 在 GE0/0/1 接 口上 应 用 是 成 功 的 。 
<Switch>display traffic-policy applied-record p1 












































Policy Name: pl 


Policy Index: 3 
Classifier:cl Behavior:bl 


Classifier:c2 Behavior:b2 
Classifier:c3 Behavior:b3 
*interface GigabitEthernet0/0/1 


traffic-policy pl inbound 
slot0 : success 


Policy total applied times: 1. 
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12.1 IP 组 播 基 础 
12.2 IGMP 的 3 个 版 本 及 各 自 工作 原理 
12.3 PIM 基 础 及 工作 原理 
12.4 MSDP 基 础 及 工作 原理 
12.5 二 层 组 播 基础 及 工作 原理 
12.6 组 播 路 由 管理 
IP 组 播 在 一 些 多 用 户 定向 发 送 的 网 络 应 用 中 使 用 非常 普遍 ， 如 远程 多 媒体 会 议 、 远 程 教学 、 视 频 点 
播 、 定 向 电子 商务 ， 以 及 ISP 的 IPTV (网 络 电视 ) 等 。 而 这 些 应 用 又 是 目前 最 热门 的 互联 网 应 用 ， 在 大 多 数 
公司 中 都 有 一 些 这 类 应 用 ， 所 以 学 好 IP 组 播 基础 知识 及 配置 与 管理 方法 ， 对 于 网 络 职业 人 士 来 说 是 非常 必 
需 的 ， 特 别 是 想 成 为 专业 、 高 薪 的 网 络 工程 师 们 。 
因为 IP 组 播 就 像 fP 单 播 一 样 是 一 个 相对 独立 的 领域 ， 所 以 涉及 的 知识 面 非常 广 ， 所 包含 的 协议 也 非常 
多 ， 如 三 层 的 IGMP、MLD、PIM、MSDP、MBGP 和 IGMP SMM Mapping 等 ， 二 层 的 有 IGMP Snooping、 
IGMP Snooping Proxy、MLD Snooping、MLD Snooping Proxy 和 IGMP SMM Snooping Mapping 等 。 本 章 先 单 
ee 各 种 了 组 播 协议 的 主要 功能 及 工作 原理 ， 以 及 各 种 
组 播 协议 的 主要 应 用 。 在 下 章 将 具体 介绍 华为 $ 系 列 交换 机 中 的 各 种 卫 组 播 应 用 配置 与 管理 方法 。 


































































































































































































































































































































































































12.1 IP 组 播 基础 








随 着 Internet 的 不 断 发 展 ， 网 络 中 交互 的 各 种 数据 、 话 音 和 视频 信息 越 来 越 多 ， 同时 新 兴 的 电子 商务 、 
网 上 会 议 、 网 上 拍卖 、 视频 点 播 远程 教学 等 服务 也 在 逐渐 兴起 。 这 些 服务 大 多 符合 点 对 多 点 的 模式 ， 对 
信息 安全 性 、 有 偿 性 、 网 络 带宽 提出 了 较 高 的 要 求 。 
作为 了 传输 3 种 方式 之 一 ， 卫 组 播 通信 指 的 是 IP 报 文 从 一 个 源 发 出 ， 而 被 转发 到 一 组 特定 的 接收 者 。 相 
较 于 传统 的 单 播 和 广播 ，IP 组 播 可 以 有 效 地 节约 网 络 带宽 、 降 低 网 络 负载 ， 所 以 在 IPTV、 实 时 数据 传送 和 
多 媒体 会 议 等 诸多 方面 都 有 广泛 的 应 用 。 













































































12.1.1 JP 网 络 的 3 种 数据 传输 方式 








IPv4 协 议定 义 了 三 种 IP 数据 包 的 传输 方式 : 单 播 (unicast) 、 广 播 (broadcast) 和 组 播 Cmulticast) 。 
下 面 首 先 对 这 三 种 包 传输 方式 进行 比较 式 地 介绍 ， 从 中 可 以 看 出 组 播 方式 的 优越 性 。 

1. 单 播 方式 的 数据 传输 过 程 

单 播 用 于 发 送 数据 包 到 单个 目的 地 ， 且 每 发 送 一 份 单 播报 文 都 使 用 一 个 单 播 了 了 地址 作为 目的 地 址 。 这 
是 最 常见 的 JP 传输 方式 ， 是 一 种 点 对 点 传输 方式 。 采 用 单 播 方式 时 ， 系 统 为 每 个 需求 该 数据 的 用 户 单独 建 
立 一 条 数据 传送 通路 ， 并 为 该 用 户 发 送 一 份 独立 的 副本 数据 。 

如 图 12-1 所 示 ， 假 设 用 户 C 〈HostC) 需要 从 数据 源 〈Source) 获取 数据 ， 则 数据 源 必 须 和 用 户 C 的 设 
备 建立 单独 的 传输 通道 。 由 于 网 络 中 传输 的 数据 量 和 要 求 接收 该 数据 的 用 户 量 成 正比 ， 因 此 当 需 要 相同 数 
据 的 用 户 数量 很 庞大 时 ， 数 据 源 主机 就 必须 要 将 多 份 内 容 相同 的 数据 发 送 给 用 户 。 这 样 一 来 ， 网 络 带宽 将 
成 为 数据 传输 中 的 瓶颈 ， 所 以 不 利于 数据 规模 化 发 送 。 
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图 12-1 单 播 方式 传输 数据 示意 图 


2. 广播 方式 的 数据 传输 过 程 
广播 是 指 发 送 数据 包 到 同一 广播 域 或 子 网 内 的 所 有 设备 的 一 种 数据 传输 方式 ， 是 一 种 点 对 多 点 传输 方 
式 。 如 果 采 用 广播 方式 ， 系 统 会 为 网 络 中 所 有 用 户 传送 一 个 数据 副本 ， 不 管 他 们 是 否 需要 ， 任 何 用 户 都 会 

















接收 到 广播 来 的 数据 。 
oo 
本 来 不 需要 接收 该 数据 的 用 户 B 也 同样 接收 到 该 数据 ， 这 样 不 仅 信息 的 安全 性 得 不 到 保障 ， 会 造成 同 


一 网 段 中 信息 泛滥 。 eb a 
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图 12-2 广播 方式 传输 数据 示意 图 





3. 组 播 方式 传输 数据 
通过 前 面 的 介绍 可 以 看 出 ， 单 播 方式 适合 用 户 较 少 的 网 络 ， 而 广播 方式 适合 用 户 需 求 普 毅 相 同 的 网 
络 。 但 当 网 络 中 需求 某 数 据 的 用 户 量 不 确定 时 ， 单 播 和 广播 方式 效率 很 低 ， 而 且 广播 方式 安全 性 差 ， 无 法 

控制 数据 的 发 送 。 

IP 组 播 技术 的 出 现 及 时 解决 了 以 上 这 些 问 题 ， 也 是 一 种 点 对 多 点 传输 方式 。 当 网 络 中 的 某 些 用 户 需 要 
特定 数据 时 ， 组 播 数据 发 送 者 《〈 即 组 播 源 ) 仅 发 送 一 次 数据 ， 借 助 组 播 路 由 协议 为 组 播 数 据 包 建立 组 播 分 
发 树 ， 被 传递 的 数据 到 达 距 离 用 户 端 尽 可 能 近 的 节点 后 才 开 始 复 制 和 分 发 。 




























































































如 图 12-3 所 示 ， 假 设 用 户 A、C 需 要 从 数据 源 获 取 数 据 ， 为 了 将 数据 顺利 地 传输 给 真正 需要 该 数据 的 用 

户 ， 需 要 将 用 户 A、C 组 成 一 个 接收 者 集合 〈 就 是 组 播 组 ) ， 由 网 络 中 各 路 由 器 根据 该 集合 中 各 接收 者 的 分 
布 情况 进行 数据 转发 和 复制 ， 最 后 准确 地 传输 给 实际 需要 的 接收 者 A 和 C。 
综 上 所 述 ， 相 比 单 播 传输 方式 ， 组 播 传输 方式 由 于 被 传递 的 信息 在 距 信 息 源 尽 可 能 远 的 网 络 节 点 才 开 
台 被 复制 和 分 发 ， 所 以 用 户 的 增加 不 会 导致 信息 源 负 载 的 加 重 以 及 网 络 资源 消耗 的 显赫 增加 。 相 比 广播 传 
输 方式 ， 组 播 传输 方式 由 于 被 传递 的 信息 只 会 发 送 给 需要 该 信息 的 接收 者 ， 所 以 不 会 造成 网 络 资源 的 浪 
费 ， 并 能 提高 信息 传输 的 安全 性 。 
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图 12-3 组 播 方式 传输 数据 示意 
12.1.2 组 播 基本 概念 








组 播 传输 的 特点 是 一 点 发 出 ， 多 点 接收 。 图 12-3 所 示 为 组 播 的 传输 模型 示意 图 ， 网 络 中 存在 信息 发 送 
源 Source， 感 兴趣 的 用 户 HostA 和 HostC 提 出 信息 需求 ，Source 发 出 的 数据 只 有 HostA 和 HostC 会 接收 到 。 

在 组 播 通 信 中 ， 需 要 理解 以 下 几 个 重要 的 基本 概念 。 

(1) 组 播 组 : 用 组 播 IP 地 址 进行 标识 的 一 个 集合 ， 是 一 个 组 播 成 员 的 集合 ， 各 组 播 成 员 共 享 这 一 个 组 
播 组 IP 地 址 。 就 相当 于 在 本 书 前 面 介 绍 的 iStack 堆 共和 CS 和 集群 中 ， 各 成 员 交 换 机 共享 使 用 同一 个 管理 IP 地 址 
一 样 。 但 要 注意 ， 组 播 成 员 自 己 在 IP 协 议 中 配置 的 IP 地 址 不 是 组 播 IP 地 址 ， 仍 是 单 播 IP 地 址 。 任 何 用 户主 
机 (或 其 他 接收 设备 ) ， 加 入 一 个 组 播 组 就 成 为 了 该 组 成 员 ， 可 以 识别 并 接收 发 往 该 组 播 组 的 组 播 数 据 。 
(2) 组 播 源 : 以 组 播 组 IP 地 址 为 目的 地 址 (组 播 源 配置 的 也 是 单 播 IP 地 址 ) ， 发 送 IP 报 文 的 信 源 称 为 
组 播 源 。 但 组 播 源 通常 不 需要 加 入 组 播 组 ， 否 则 自己 接收 自己 发 送出 去 的 数据 了 。 图 12-3 中 的 Source 就 是 
一 个 组 播 源 。 一 个 组 播 源 可 以 同时 向 多 个 组 播 组 发 送 数据 ， 多 个 组 播 源 也 可 以 同时 向 一 个 组 播 组 发 送 报 
文 。 




















































































































































































































(3) 组 播 组 成 员 : 所 有 加 入 某 组 播 组 的 主机 便 成 为 该 组 播 组 的 成 员 ， 如 图 12-3 中 的 HostA 和 HostC。 
组 播 组 中 的 成 员 是 动态 的 ， 主 机 可 以 在 任何 时 刻 加 入 或 离开 组 播 组 。 组 播 组 成 员 可 以 广泛 地 分 布 在 网 络 中 
的 任何 地 方 。 
(4) 组 播 路 由 器 : 文 持 三 层 组 播 功能 的 路 由 器 或 三 层 交 换 机 (它们 不 是 组 播 组 成 员 ) ， 如 图 12-3 中 的 
各 个 Router。 组 播 路 由 器 不 仅 能 够 提供 组 播 路 由 功能 ， 也 能 够 在 与 用 户 连接 的 末梢 网 段 上 提供 组 播 组 成 员 的 


管理 功能 。 



















































































12.1.3 典型 IP 双 黄 型 




















根据 对 组 播 源 处 理 方式 的 不 同 ，IP 组 播 模 型 有 下 列 3 种 : ASM (Any-Source Multicast， 任 意 源 组 播 ) 、 
SFM (Source-Filtered Multicast， 过 滤 源 组 播 ) 和 SSM (Source-Specific Multicast， 指 定 源 组 播 ) 。 

1. ASM 模 型 

简单 地 说 ，ASM 〔 任 意 源 组 播 ) 模型 就 是 任意 源 都 可 以 成 为 组 播 源 。 由 此 可 知 ，ASM 模 型 中 的 组 播 源 
是 不 人 任意 一 个 发 送 者 都 可 以 成 为 组 播 源 ， 然 后 向 某 组 播 组 地 址 发 送 数据 ， 显 然 安全 性 较 差 。 接 收 
者 通过 加 入 对 应 的 组 播 组 就 可 以 获得 发 往 该 组 播 组 的 任意 组 播 数据 ， 而 且 接收 者 无 法 预先 知道 组 播 源 的 位 
置 ， 但 可 以 在 任意 时 间 加 入 或 离开 该 组 播 组 。 
为 了 提高 安全 性 ， 可 以 在 路 由 器 上 配置 针对 组 播 源 的 过 滤 策 略 ， 人 允许 或 禁止 来 自 某 些 组 播 源 的 报 文通 
过 。 最 终 从 接收 者 角度 看 ， 数 据 是 经 过 筛选 的 。 

ASM 模型 中 组 播 组 可 以 使 用 的 组 播 卫 地 址 为 224.0.1.0 一 231.255.255.255、233.0.0.0 一 
238.255.255.255。 但 要 求 组 播 组 地 址 必须 整个 组 播 网 络 中 唯一 。“ 唯 一 ” 指 的 是 同一 时 刻 一 个 ASM 组 播 组 地 
只 能 被 一 种 组 播 应 用 使 用 。 如 果 有 两 种 不 同 的 应 用 程序 使 用 了 同一 个 ASM 组 播 组 地 址 发 送 数据 ， 它 们 的 
发 者 会 同时 收 到 来 自 两 个 源 的 数据 。 这 样 一 方面 会 导致 网 络 流量 拥塞 ， 另 一 方面 也 会 给 接收 者 主机 造成 
扰 。 

2. SFM 模 型 

SFM (过滤 源 组 播 ) 模型 继承 了 ASM 模型 ， 从 发 送 者 角度 来 看 两 者 的 组 播 组 成 员 关 系 完全 相同 ， 也 可 
以 是 任意 组 播 源 。 但 是 ， 在 SFM 模 型 中 组 播 上 层 应 用 软件 可 以 根据 收 到 的 组 播 包 的 源 IP 地 址 进行 过 滤 ， 允 
许 或 禁止 来 自 某 些 组 播 源 的 包 通 过 。 这 样 一 来 ， 接 收 者 就 可 以 只 接收 允许 通过 的 组 播 源 发 来 的 组 播 数据 。 
即 SFEM 在 ASM 的 基础 上 添加 了 组 播 源 过 滤 策 略 。 

3. SSM 模 型 

在 现实 生活 中 ， 用 户 可 能 只 对 某 些 组 播 源 发 送 的 组 播 数 据 感 兴趣 ， 而 不 愿 接收 其 他 源 发 送 的 数据 。 
SSM〔 指 定 源 组 播 ) 模型 就 是 一 种 为 用 户 提 供 能 够 在 客户 端 指定 组 播 源 的 传输 服务 。 

SSM 模 型 与 ASM 模 型 的 根本 区 别 在 于 : SSM 模 型 中 的 接收 者 已 经 通过 其 他 手段 预先 知道 了 所 需 接收 组 
播 数 据 的 组 播 源 的 具体 位 置 ， 限 定 了 可 接收 的 组 播 源 。 然 后 ，SSM 模 型 使 用 与 ASM/SFM 模型 不 同 的 组 播 
组 地 址 范围 (为 232.0.0.0 一 232.255.255.255) 直接 在 接收 者 和 其 指定 的 组 播 源 之 间 建 立 专用 的 组 播 转发 树 。 
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12.1.4 IP 组 播 地 址 

















1 于 组 播 数据 的 接收 者 是 一 个 组 播 组 内 的 多 个 主机 ， 因 此 ， 需 要 面 对 数 据 源 该 将 数据 发 往 何 处 、 目 的 
地 址 如 何 选 取 的 问题 。 这 些 问 题 简 而 言 之 就 是 组 播 寻 址 。 与 单 播 中 的 他 寻 址 或 者 MAC 寻 址 一 样 ， 为 了 让 组 
播 源 和 组 播 组 成 员 进 行 通信 ， 需 要 提供 网 络 层 组 播 地 址 ， 即 IP 组 播 地 址 。 同 时 必须 存在 一 种 技术 将 也 组 播 地 
址 映射 为 链 路 层 MAC 组 播 地 址 。 下 面 分 别 介绍 这 两 种 组 播 地 址 。 
【经 验 之 谈 】 二 万 不 要 认为 在 卫 组 播 中 所 有 组 播 设备 上 的 耳 地 址 都 是 使 用 组 播 地 址 。 实 际 上 只 有 组 播 
组 IP 地 址 是 组 播 人 地址， 而 像 组 播 源 、 接 收 主机 的 IP 地 址 仍 是 单 播 IP 地 址 。 

1. 三 层 组 播 了 地 址 

根据 IANA (Internet Assigned Numbers Authority， 因 特 网 编号 授权 委员 会 ) 规定 ， IP 地址 分 为 五 类 ， 
即 A 类 、B 类 、C 类 、D 类 和 E 类 。 单 播 包 按照 网 络 规模 大 小 分 别 使 用 A、B、C 三 类 IP 地 址 。 组 播 包 的 目的 地 
址 使 用 DD 类 IP 地 址 ，D 类 地 址 不 能 出 现在 IP 包 的 源 IP 地 址 字段 (也 就 是 不 能 作为 组 播 源 地 址 ， 换 言 之 ， 组 播 
源 的 IP 地 址 仍 是 单 播 地 址 ) 。E 类 地 址 保留 在 今后 使 用 。 
在 单 播 数据 传输 过 程 中 ， 一 个 数据 包 传 输 的 路 径 是 从 源 地 址 路 由 到 目的 地 址 ， 利 用 “ 逐 跳 ”(hop-by- 
hop) 的 原理 在 卫 网 络 中 传输 。 然 而 在 了 组 播 环境 中 ， 数 据 包 的 目的 地 不 是 一 个 ， 而 是 一 组 ， 形 成 组 地 址 











































































































































































































(可 以 理解 为 所 有 接收 者 的 
组 内 ， 并 且 一 旦 加 入 之 后 ， 流 向 该 组 地 址 的 数 和 
日 ”。 
































这 个 组 就 是 “组 播 台 






































组 播 组 具有 以 





几 个 特点 。 














(1) 组 播 组 
(2) 

















的 成 员 是 动态 的 ， 主 机 可 以 在 人 


组 播 组 可 以 是 永久 的 也 可 以 是 临时 的 。 








四 立 即 向 接收 者 传输 ， 组 ， 




















播 地 址 与 一 个 组 播 组 地 址 形成 了 映射 关系 ) 。 所 有 的 数据 接收 者 都 加 入 一 个 


的 所 有 成 员 都 能 接收 到 数据 包 ， 


EF 何 时 刻 加 入 和 离开 组 播 组 。 


(3) 由 IANA 分 配 组 播 地 址 的 组 播 组 称 为 永久 组 播 组 〈 又 称 保 留 组 播 组 ) 。 


对 于 永久 组 播 组 ， 要 注意 以 下 几 点 。 


(1) 永久 组 播 组 的 耳 地 址 保持 不 变 ， 但 组 ， 








(2) 永久 组 播 纪 





日 中 成 员 的 数量 可 以 是 任意 


























(3) 那些 没有 保留 下 来 供 永久 组 播 组 使 用 的 了 组 播 地 址 ， 可 以 被 临时 组 播 组 使 用 
D 类 组 播 地 址 范围 是 224.0.0.0 一 239.255.255.255， 其 中 包括 了 很 多 地 址 ， 但 不 同 ] 

















的 成 员 构 成 可 以 发 生变 化 。 
的 ， 甚 至 可 以 为 零 。 























地 址 段 有 不 同 / 











j 途 ， 具 





体 如 表 12-1 所 示 。 记 住 这 个 表 中 各 个 组 播 段 的 使 用 范围 相当 重要 ， 这 样 就 不 会 在 配置 组 播 网 络 中 错误 地 使 


























i 





j 了 不 该 在 特定 环境 下 使 用 的 组 播 地 址 。 














表 12-1 D 类 地 址 的 范围 及 用 途 


D 类 地 址 范围 


224.0.0.0 一 224.0.0.255 


配 ， 其 他 地 址 供 路 由 协议 使 用 


预 留 的 组 播 组 地 址 (也 就 是 永久 组 地 址 )， 地 址 224.0.0.0 保留 不 做 分 





















224.0.1.0~231.255.255.255 
233.0.0.0~238.255.255.255 


可 用 的 ASM (Any-Source Multicast， 任 意 源 组 播 模型 ) 组 播 组 地 址 ， 


全 网 范围 内 有 效 





232.0.0.0~232.255.255.255 


可 用 的 SSM (Source-Specific Multicast， 指 定 源 组 播 模 型 ) 组 播 组 


地 址 





239.0.0.0~239.255.255.255 





本 地 管理 组 播 地 址 ， 仅 在 特定 的 本 地 范围 内 有 效 














根据 IANA 的 约定 ，224.0.0.0 一 224.0.0.255 网 段 地 址 被 预 留 给 本 地 网 络 中 的 路 由 协议 使 ) 
IP 组 播 地 址 及 用 途 说 明 如 表 12-2 所 示 。 


说 明 


表 12-2 预 留 IP 组 播 地 址 及 | 


224.0.0.1 








网 段 内 所 有 主机 和 路 由 器 (等 效 于 广播 地 址 ) 

















j 途 说 明 














的 预 留 








224.0.0.2 


所 有 组 播 路 由 器 的 地 址 





224.0.0.3 不 分 配 





224.0.0.4 


所 有 DVMRP (Distance Vector Multicast Routing， 距 离 矢 量 组 播 路 由 协议 ) 路 由 器 





224.0.0.5 


所 有 OSPF (Open Shortest Path First， 最 短路 径 优先 ) 路 由 器 





224.0.0.6 由 器 ) 


OSPF DR (Open Shortest Path First Ddesignated Router， 最 短路 径 优先 指定 路 





224.0.0.7 


ST (Shared Tree， 共 享 树 ) 路 由 器 





224.0.0.8 


ST (Shared Tree， 共 享 树 ) 主机 





224.0.0.9 


RIPv2 路 由 器 





224.0.0.11 活动 代理 





224.0.0.12 


DHCP 服务 器 /中 继 代理 





224.0.0.13 


所 有 PIM (Protocol Independent Multicast， 协 议 无 关 组 播 ) 路 由 器 





224.0.0.14 


RSVP (Resource Reservation Protocol， 资 源 预 留 协议 ) 封装 





224.0.0.15 


所 有 CBT (Core-Based Tree， 有 核 树 ) 路 由 器 





224.0.0.16 


指定 SBM (Subnetwork Bandwidth Management， 


子 网 带宽 管理 ) 








224.0.0.17 


所 有 SBMS 





224.0.0.18 
224.0.0.22 








VRRP (Virtual Router Redundancy Protocol， 虚 拟 路 由 宛 余 协议 ) 
所 有 IGMPv3 路 由 器 

















与 IANA 为 了 单 播 预 留 私有 地 址 网 段 10.0.0.0/8 等 类 似 ，IANA 也 为 IP 组 播 预 留 了 私有 地 址 网 段 
239.0.0.0/8〈 也 就 是 这 个 地 址 段 中 的 组 播 地 址 可 以 在 局 域 网 内 使 用 ) 。 这 些 地 址 属于 管理 范围 地 址 ， 可 以 灵 
活 地 定义 组 播 域 范围 ， 实 现 不 同 组 播 域 之 间 的 地 址 隔离 ， 有 助 于 相同 组 播 地 址 在 不 同 组 播 域 内 的 重复 使 用 
而 不 会 冲突 。 

2. 二 层 以 太 网 组 播 MAC 地 址 

以 太 网 传输 单 播 卫 包 的 时 候 ， 目 的 MAC 地 址 使 用 的 是 接收 者 的 MAC 地 址 。 但 是 在 传输 组 播 包 时 ， 传 输 
目标 不 再 是 一 个 具体 的 接收 者 ， 而 是 一 个 成 员 不 确定 的 组 ， 所 以 对 应 也 就 需要 使 用 组 播 MAC 地 址 作为 目的 
地 址 。 

IANA 规定 ， 组 播 MAC 地 址 的 高 25 位 固定 为 0000 0001 0000 0000 0101 1110 0， 形 成 MAC 地 址 25 位 前 
级 ，MAC 地 址 的 低 23 位 为 组 播 IPv4 地 址 的 低 23 位 。 它 们 之 间 的 映射 关系 如 图 12-4 所 示 (组 播 IPv4 地 址 中 的 
低 23 位 映射 到 组 播 MAC 地 址 的 低 23 位 ) 。 
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IN 

















这 5 位 丢弃 


XXXX XXXX XXXX XXXX XXXX XXXX 
加 这 23 位 映射 国 
48 位 MAC 地 址 为 MAC 地 址 


0000 0001 0000 0000 0101 1110 OXXX XXXX | | XXXX XXXX | XXXX XXXX 


25 位 MAC 地 址 前 级 





32 位 IP 地 址 








图 12-4 IPv4 组 播 地 址 到 MAC 组 播 地 址 的 映射 

















由 于 IPv4 组 播 地 址 的 高 4 位 是 1110， 代 表 组 播 标识 ， 而 低 28 位 中 只 有 23 位 被 映射 到 MAC 地 址 ， 这 样 卫 地 
址 中 就 会 有 5 位 数据 丢失 ， 直 接 的 结果 是 出 现 了 32 (2$lt@sup$gt@5$lt@/sup$gt@) 个 IP 组 播 地 址 映射 到 同一 
组 播 MAC 地 址 上 。 

IPv6 组 播 MAC 地 址 的 高 16 位 为 0x3333， 低 32 位 是 从 IPv6 组 播 地 址 的 低 32 位 映射 过 来 的 。 如 图 12-5 所 示 
的 是 IPv6 组 播 地 址 FF1E::F30E:101 的 MAC 地 址 映射 举例 。 









































128 位 IPv6 地 址 


2 
的 





otcwst| m3 | roe | oo | 


16 位 MAC 地 址 前 组 


图 12-5 IPv6 组 播 地 址 的 MAC 地 址 映射 示例 


12.1.5 JP 组 播 协议 





要 实现 一 套 完整 的 组 播 服务 ， 需 要 在 网 络 各 个 位 置 部 署 多 种 组 播 协议 相互 配合 ， 共 同 运 作 。 但 不 同 结 
构 的 组 播 网 络 所 需 使 用 的 组 播 协议 不 完全 一 样 。 
图 12-6 是 一 个 典型 的 单 PIM 域 组 播 网 络 示意 图 ， 整 个 组 播 网 络 是 由 路 由 器 或 三 层 交 换 机 + 二 层 交 换 机 组 
成 的 ， 从 中 可 以 看 出 在 这 些 组 播 设 备 上 所 运行 的 组 播 协议 包括 PIM (协议 无 关 组 播 ， 同 时 有 IPv4 和 IPvV6 版 
本 ) 、IPv4 网 络 的 IGMP (因特网 组 管理 协议 ) ， IPv6 网 络 中 的 MLD 〈 组 播 监听 器 发 现 ) 、IPv4 网 络 的 





























































































































IGMP Snooping〈 因 特 网 组 管理 协议 嗅 探 ) ，IPv6 网 络 中 的 MLD Snooping 〈 组 播 监听 器 发 现 嗅 探 ) 。 





























图 12-7 是 一 个 跨 PIM-SM 域 的 组 播 网 络 示 意图 ， 它 与 图 12-6 所 示 的 单 PIM 域 组 播 网 





络 相 比 ， 在 运行 的 组 


播 协 议 上 仅 需 在 PIM 域 边界 组 播 路 由 器 上 多 了 一 个 实现 跨 PIM 域 连接 的 MSDP 组 播 源 发 现 协议 ) 。 而 图 12- 








8 是 一 个 路 AS 域 组 播 网 络 示意 图 ， 它 与 图 12-7 所 示 的 跨 PIM 域 组 播 网 络 相 比 ， 在 运行 的 组 播 协议 又 仅 需 在 












































AS 


边界 组 播 路 由 器 上 多 了 一 个 用 于 不 同 AS 组 播 连接 的 MBGP〔 组 播 边 界 管理 协议 ) 。 因 为 MBGP 将 在 配套 图 

















书 《华为 路 由 器 学 习 指 南 》 中 有 详细 介绍 ， 故 在 此 不 再 费 述 。 


























IGMP Snooping、MLD、MLD Snooping、PIM 和 MSDP 这 六 种 组 播 协议 。 在 本 章 后 还 将 对 它们 的 工作 原理 


行 详细 齐 析 。 
说 明 














下 面 仅 从 各 


本 章 后 面 仅 介 绍 IPv4 组 播 网 络 的 相关 协议 及 配置 与 管理 方法 。 
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IGMP for IPv4 
MLD for IPv6 


IGMP Snooping for IPv4 
MLD Snooping for IPv6 
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自 的 基本 用 途 方面 介绍 IGMP、 
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域 的 组 播 网 络 示意 图 





图 12-7 跨 PIM-SM 
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PIM-SM 1 
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PIM-SM 3 
~ HostB Receiver 
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名 示意 图 


12-8 跨 AS 域 组 播 网 


区 | 


1. IGMP 和 MLD 











工作 就 交 给 网 络 去 完成 。 网 络 ! 
转发 和 复制 。 
接收 者 信息 的 收集 和 管理 的 

































































于 IPV6 网 络 。| 


大 与 











pe 

















YH 























是 IGMPv2。 在 组 播 模 型 方 





























在 IPv6 组 播 中 使 用 MLD 协议 来 















































作 通 过 IGMP (Internet Group Management Protocol， 因 特 网 组 管理 
或 MLD (Multicast Listener Discovery， 组 播 监听 器 发 现 ) 协议 来 完成 的 。 其 中 ，IGMP 用 于 IPv4 网 络 ， 
于 为 主机 侧 提供 组 播 组 成 员 动 态 加 入 与 离开 服务 ， 为 路 由 器 侧 提供 组 成 员 关 系 的 维护 与 
管理 服务 ， 同 时 与 上 层 组 播 路 由 协议 进行 信息 交互 。 

IGMP 包 含 3 个 版 本 ， 分 别 是 IGMPv1、IGMPv2 和 IGMPv3。 新 版 本 完全 兼容 旧版 本 。 
面 ，3 个 版 本 都 支持 ASM 模 型 ， IGMPv3 可 以 直接 支持 SSM 模 型 ， 而 IGMPv1 和 
IGMPv2 需 要 结合 SSM-Mapping 技 术 才 能 支持 SSM 模 型 。 
代 IGMP 协议 ， 也 是 一 种 三 层 组 播 协议 。MLD 包 含 两 个 版 本 ， 分 别 


在 卫 组 播 传输 模型 中 ， 发 送 者 不 关心 接收 者 所 处 的 位 置 ， 只 要 将 数据 发 送 到 约定 的 目的 地 址 ， 剩 下 的 
的 路 由 器 设备 必须 收集 接收 者 的 信息 ， 








并 按照 正确 的 路 径 实 现 组 播报 文 的 

















协议 ) 
MLD 


















































j 最 广泛 的 





前 应 | 
































是 MLDv1 和 MLDv2。MLDv1 的 功能 与 GMPV2 相 似 ; MLDv2 的 功能 与 IGMPv3 相 似 。 两 个 MDL 版 本 都 支持 
SSM-Mapping 技 术 才能 支持 SSM 模 型 。 

















ASM 模 型 
2. IGMP Snooping 和 MLD Snooping 











IGMP Snooping 和 MLD Snooping 协 议 是 














协议 ， 配 置 在 VLAN 内 。 其 









































络 中 的 转发 。 
3. PIM 和 MSDP 











组 播报 文 转发 路 径 的 建立 ， 有 多 种 组 播 路 
Independent Multicast， 协 议 无 关 组 播 ) 协议 。PIM 是 一 种 域内 组 播 路 














MLDv2 可 以 直接 支持 SSM 模 型 ， 而 MLDv1 也 需要 结合 


运行 在 组 播 路 由 器 和 








，IGMP Snooping/ 











器 和 主机 之 间 发 送 的 IGMP、MLD 报 文 建立 组 播 数 志 




















户主 机 之 间 的 二 层 交 换 机 上 的 二 层 组 播 
于 IPv4 网 络 ，MLD Snooping 用 于 IPv6 网 络 ， 




















来 侦 听 路 
































居 的 二 层 转 发 表 ， 从 而 管理 和 控制 组 播 数 据 在 二 层 网 























1 协议 可 以 完成 。 目 前 应 用 广泛 的 是 PIM (Protocol 























[协议 ， 当 跨 PIM 域 传递 组 播 源 信息 




















时 ， 需 要 MSDP (Multicast Source Discovery Protocol， 组 播 源 发 现 协议 ) 支持 ， 当 跨 AS 域 建立 组 播 路 由 时 则 
同时 需要 MSDP 和 MBGP (MultiProtocol Border Gateway Protocol， 组 播 边界 网 关 协 议 ) 支持 。 

















PIM 是 ) 
































中 ， 所 有 的 组 播 路 
表 项 执行 转发 。PIM 有 两 套 独立 的 模式 。 
(1) DM (Dense Mode) : 适 | 
(2) SM (Sparse Mode) : 适 | 

























































































如 图 12-6 所 示 ， 为 了 便于 控制 和 管理 组 播 资源 (组 播 组 、 组 播 源 和 组 播 组 成 员 〉， 
域 间 进行 隔离 ， 从 而 形成 一 个 个 隔离 的 PIM-SM 域 。 图 12-7 所 示 为 跨 PIM-SM 域 的 组 播 网 络 。 
赖 于 单 播 路 由 表 ， 所 以 组 播 转发 路 径 与 单 播 转发 路 径 是 一 致 的 。 当 组 播 源 与 接收 者 分 布 在 不 同 的 AS : 





























于 IPv4 或 IPv6 组 播 网 络 (对 应 IPv4 PIM 
路 由 与 转发 ， 用 来 在 自治 系统 AS 内 发 现 组 播 源 并 构建 组 播 分 发 树 ， 将 信息 传递 到 接收 者 。 在 一 个 小 型 网 络 
1 器 都 在 一 个 PIM 组 播 域内 。 它 可 以 动态 响应 网 络 拓扑 变化 ， 维 护 组 播 路 
于 小 规模 、 
] 于 大 规模 、 








版 本 和 IPv6 PIM 版 本 ) 中 域内 组 播 路 








器 之 间 的 组 播 



































1 表 ， 并 按照 路 









































接收 者 分 布 较为 密集 的 情况 ， 支 持 ASM 模 型 。 
接收 者 分 布 较为 稀疏 的 情况 ， 同 时 支持 ASM 模 型 和 SSM 模 



























































播 路 由 表 ， 使 组 播 数 据 通过 组 播 路 
MSDP 目前 仅 用 于 IPv4 组 播 网 络 ! 


型 有 意义 。 它 可 以 实现 源 所 在 域内 的 路 




























































































型 蕊 可 
之 间 传 递 源 信息 。 为 了 使 不 同 的 PIM-SM 域 之 间 组 播 数 





时 ， 需 要 跨 AS 建立 组 播 转 发 树 ， 如 图 12-8 所 示 。 此 时 可 以 部 署 MBGP 协 议 ， 生 成 一 张 独立 于 单 播 路 

1 表 进行 传输 。 
域 间 组 播 路 由 器 之 间 的 域 间 组 播 源 信息 共享 ， 但 只 对 ASM 服务 模 
1 器 将 本 地 源 信息 传播 给 其 他 域内 的 路 由 器 ， 以 及 不 同 域 的 路 











需要 将 组 播 资源 在 
1 于 PIM 协 议 依 





















































的 组 



































| 页 
































能 够 互通 











x 




















需要 在 域 间 部 署 MSDP 协 议 。MSDP 通 





过 在 各 个 PIM-SM 域 之 间 建 立 MSDP 对 等 体 关 系 ， 对 等 体 之 间 交 互 SA (Source Active， 源 激活 ) 消息 来 传递 




















组 播 信息 ， 从 而 实现 接收 者 主机 可 以 接收 3 








其 他 PIM-SM 域 的 组 播 源 数据 。 


12.2 IGMP 的 3 个 版 本 及 各 




















自 工作 原理 














IGMP ( 








其 直接 相 邻 的 组 播 路 



































封装 在 IP 报 文中 ， 其 IP 的 协议 号 为 2。 








到 目前 为 止 IGMP 有 3 




















IGMPv3 ( 














的 报 文 。 


IRFC 337 
查询 器 选举 和 组 成 员 离 开 的 机 





个 





6 定义 ) 。 





























寻 特 网 组 管理 协议 ) 是 TCP/IP 协 议 族 中 负责 IP 组 播 成 员 管 理 的 一 个 子 协议 ， 用 
器 之 间 〈 不 是 应 用 于 多 个 组 播 路 由 器 之 间 ) 建立 、 维 护 组 播 组 成 员 关 系 。IGMP 消 息 

































































IGMPv1 中 定义 了 基本 的 组 成 员 查 询 和 报告 过 程 ，IGMPvV2 在 此 基础 





























来 在 IP 主 机 和 与 





版 本 : IGMPv1 (由 RFC 1112 定 义 ) 、IGMPv2 (由 RFC 2236 定 义 ) 和 


上 添加 了 





制 ，IGMPv3 中 增加 的 主要 功能 是 成 员 可 以 指定 接收 或 指定 不 接收 某 些 组 播 源 





IGMP 的 3 个 版 本 在 演进 过 程 中 对 协议 报 文 的 处 理 是 向 前 兼容 的 ， 因 此 ， 尽 管 各 个 版 本 的 协议 报 文 格式 





不 同 ， 但 是 运行 IGMP 高 








版 本 的 路 












































器 可 以 识别 低 版 本 的 成 员 报告 。 所 有 这 3 个 版 本 的 IGMP 都 支持 ASM 


模型 ，IGMPv3 可 以 直接 应 用 于 SSM 模型 。 而 1TGMPv1 和 IGMPv2 则 需要 SSM-Mapping 技 术 的 支持 。 


12.2.1 IGMPv1 工 作 原 理 























IGMPv1 是 最 初 的 版 本 ， 主 要 基于 查询 和 响应 机 





发 送 加 入 消息 加 入 直接 相连 

















messages) 。IGMPv1 组 播 路 
IGMPv1 报 文 有 两 利 
(1) 普遍 组 查询 报 文 (General Query) : 是 查询 器 主动 向 共享 网 络 























1 器 使 用 




















h 类 型 。 


文 ， 用 于 了 解 哪些 组 播 组 存在 成 员 。 


(2) 成 员 报告 报 文 (Report) : 是 主机 为 了 响应 普遍 查询 报 文 












































机 主动 向 组 播 路 由 器 发 送 的 报告 消息 ， 用 于 应 答 普 遍 查 询 报 文 加 入 某 个 


播 组 。 


出 唯一 的 组 播 

















IGMPv1 协 议 主 要 基于 查询 /响应 机 制 完成 组 播 组 管理 。 当 














一 



































oe 























所 来 完成 对 组 播 组 成 员 的 管理 。 
的 组 播 路 由 器 上 特定 的 组 播 组， 但 离开 时 不 会 发 送 离开 信息 (leave 
基于 超时 的 机 制 去 发 现 其 成 员 不 关注 的 组 。 


i 被 动 向 组 播 路 


当 一 个 网 段 内 有 多 个 组 播 路 
一 台 发 送 查 询 报 文 就 足够 了 ， 此 时 需要 选举 出 一 个 IGMP 碍 询 器 。 在 IGMPv1 中 ， 由 组 播 路 
言 息 转发 者 〈Assert Winner 或 DR) 作为 IGMPv1 的 查询 
1. 普遍 组 查询 和 响应 机 第 


















































组 播 组 ， 

































































IGMPv1 主机 可 以 通过 





上 所 有 主机 和 路 由 器 发 送 的 查询 报 





器 发 送 的， 或 者 是 主 
或 者 主动 申请 加 入 某 个 组 





器 时 ， 只 需要 其 中 
1 协议 PIM 选 举 
器 ， 负 责 该 网 段 的 组 成 员 关 系 查 询 。 








如 图 12-9 所 示 《〈 左 图 显示 的 是 普遍 查询 报 文 的 传递 过 程 ， 右 图 显示 的 是 成 员 报告 报 文 的 传递 过 程 ) ， 











组 播 网 络 中 RouterA 和 RouterB 连 接 主 机 网 段 ，RouterA 为 查询 器 (由 PIM 路 
E 机 网 段 上 有 HostA、HostB、HostC 三 个 接收 者 。 现 假设 HostA 和 HostB 想 要 接 
事先 要 经 过 相应 配置 ) 。 























看 介绍 PIM 协 议 时 介绍 ) 。 在 3 
收发 往 组 播 组 G1 的 数 扩 
询 和 响应 过 程 如 下 。 
































居 ，HostC 想 要 接收 发 得 




















组 播 组 G2 的 数据 〈 均 需要 





























1 器 选举 决定 ， 有 具体 将 在 本 章 后 








普遍 组 查 





























(1) IGMP 查 询 器 (RouterA) 以 
主机 和 路 由 器 ， 相 当 于 广播 地 址 ) 向 该 网 段 
哪些 组 播 成 员 存在 。 











Query 






RouterA RouterB 


Querier 


Ethernet 


HostA HostB HostC 
(G1) (G1) (G2) 
一 > General Query 


图 12-9 普遍 组 查询 和 响应 机 制 示 意图 








Report 


RouterA 


Querier 









































普遍 组 查询 报 文 是 周 























送 一 次 。 


(2) 网 段 内 所 有 主机 和 路 由 器 都 会 接收 到 该 查询 报 文 ， 但 只 有 已 配置 了 对 应 纪 
应 。 为 了 避免 多 个 成 员 主机 同时 发 送 响应 的 报告 报 文 ， 在 IGMP 中 
报告 报 文 前 要 启动 一 个 随机 定时 器 〈 为 0 一 10s) ， 
HostB 是 组 播 组 G1 成 员 ， 所 以 均 会 厂 





所 有 主机 和 路 
期 性 发 送 的， 发 送 











Multicast 
Network 


RouterB 


Ethernet 


HostA HostB HostC 
(G1) (G1) (G2) 
Report for G1 


» Report for G2 








目的 地 址 224.0.0.1 (这 是 一 个 永久 组 播 地址 ， 代 表 了 同一 网 段 内 所 有 

































































启动 定时 器 Timer-G2。 











器 才 会 











(4) 路 

































































改 出 相应 的 响应 。 现 假设 HostA 上 的 Timer-G1 
的 报告 报 文 ， 此 时 想 加 入 组 
G1， 不 再 发 送 针 对 G1 的 报告 报 文 ， 这 样 做 的 

同样 ，HostC 上 的 Tim 












































1 器 (包括 IGMP 查 询 器 )〉 | 












































大 | 


























于 先 超 时 











目的 是 可 以 减少 
er-G2 超时 后 也 会 向 该 网 段 发 送 报告 报 文 ， 
器 接收 到 报告 报 文 后 ， 了 解 到 本 网 段 内 存在 组 播 组 G1 和 G2 的 成 员 《〈 但 不 需要 了 解 
成 员 ， 只 需要 知道 哪些 组 播 组 中 有 成 员 ) ， 然 后 








1 路 由 器 上 运行 的 PIMI 











2. 新 组 成 员 加 入 

















注意 ， 这 里 所 说 的 是 有 成 员 要 加 入 新 的 组 播 组 ， 并 不 是 现 
示 ， 假 设 在 网 段 上 新 接 入 一 个 主机 HostD， 想 加 入 组 播 组 G3 事先 要 通过 配置 ) 




















(*，G1) 和 (*，G2) ，“*" 代 表 任意 组 播 源 。 这 样 ， 网 络 : 


器 ， 则 将 向 该 网 段 的 对 应 组 播 组 中 的 所 有 成 员 主机 转发 。 





网 段 上 的 流量 。 

















为 HostA 和 


上 都 可 以 收 到 该 报 文 ， 但 只 
， 它 会 向 该 网 段 发 送 目 





1 器 发 送 普遍 组 查询 报 文 ， 以 了 解 该 网 段 中 有 
周期 可 以 通过 命令 配置 ， 缺 省 情况 下 每 隔 60s 发 


日 播 组 的 成 员 才 做 出 响 

规定 ， 每 个 组 播 组 会 要 求 组 播 成 员 在 发 送 
只 有 定时 器 超时 后 才 会 发 送 报告 报 文 。 
E 本 地 启动 定时 器 Timer-G1; HostC 是 组 播 组 G2 的 成 员 ， 同 样 会 在 本 地 








(3) 当 同 一 个 组 播 组 中 的 第 一 个 成 员 局 动 的 定时 器 超时 后 ， 会 以 224.0.0.1 为 目的 地 址 发 送 针对 该 组 播 
组 的 报告 报 文 ， 在 该 网 段 中 所 有 主机 和 组 播 路 





有 查询 








的 地 址 也 为 224.0.0.1 








目的 地 址 也 为 224.0.0.1。 


G1 的 HostB 也 可 以 侦 听 到 HostA 发 送 的 报告 报 文 ， 则 停止 自己 的 定时 器 Timer- 
































有 组 播 组 中 有 新 成 员 加 入 。 如 图 



























































\ 体 所 有 





协议 生成 对 应 的 两 个 组 播 转 发 表 项 
旦 有 组 播 组 G1 和 G2 的 数据 到 达 组 播 路 


12-10 所 

















， 这 是 一 个 在 PIM 路 


器 还 








没 建立 的 新 的 组 播 组 。 此 时 ， 该 成 员 主机 不 会 等 待 碍 询 器 的 普遍 组 查询 报 文 的 到 来 ， 立 即 主动 发 送 针 对 G3 


的 报告 报 文 

















目的 地 址 也 为 224.0.0.1) 。 查 询 器 在 收 到 报告 所 



































及 文 后 ， 了 解 到 本 网 段 内 出 现 了 新 的 组 播 组 G3 


的 成 员 ， 会 上 





日 上 层 PIM 协 议 生 成 新 的 组 播 转 发 表 项 














PIM 路 由 器 后 将 向 该 网 段 的 对 应 组 播 组 中 的 所 有 成 员 主 机 转发 。 


3. 组 成 员 离 开 









RouterA RouterB 


Querier 


Ethernet 


有 


HostA HostB HostC HostD 
(G1) (G1) (G2) (G3) 


一 -> Report forG3 





图 12-10 新 成 员 加 入 示意 图 














(*，G3) 。 这 样 ， 当 网 络 中 一 旦 有 G3 的 数据 到 达 该 

















IGMPv1 没有 专门 定义 离开 组 的 报 文 。 当 主机 离开 组 播 组 时 不 会 再 对 后 续 的 普遍 组 查询 报 文 做 出 回应 ， 


纯粹 通过 普遍 











查询 报 文 的 最 大 响应 定时 器 来 确定 茶 组 播 组 中 是 否 还 有 












































日 播 成 员 。 假 设 图 12-10 中 的 HostC 退 











出 组 播 组 G2， 当 收 到 普遍 组 查询 报 文 时 ，HostC 不 再 发 送 针 对 G2 的 报告 报 文 进行 响应 。 此 时 ， 由 于 网 段 上 


不 存在 























12.2.2 IGMPv2 的 改进 


有 G2 的 其 他 成 员 ， 查 询 
播 转发 项 。 但 如 果 是 HostA 退 昌 
进行 响应 的 。 


























组 播 组 G1， 则 路 









































器 永远 不 会 收 到 G2 的 报告 报 文 ， 会 在 一 定时 间 (130s〉 后 删除 G2 所 对 应 的 组 
器 不 会 感知 到 他 的 离开 ， 因 为 G1 中 还 有 成 员 HostB， 它 会 




















与 IGMPv1 相 比 ，IGMPv2 增加 了 独立 的 查询 器 选举 机 制 (IGMPv1 中 的 查询 器 是 组 播 路 由 协议 选举 指 




















定 路 由 器 (DR) 担当 查询 器 
告 组 成 员 终 止 情 况 ， 这 对 高 带 











下 
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查询 器 ， 




















器 。 下 














的 ) 和 离开 组 机 千 

























































































1L 体 介绍 IGMPv2 新 增 的 查询 器 选举 机 制 和 成 员 离 开 组 机 制 |。 
查询 器 选举 
IGMPv2 使 








独立 的 查询 器 选举 机 制 ， 当 共享 网 段 上 存在 多 个 组 播 路 
| 各 个 运行 IGMP 协 议 的 路 由 器 之 间 自 动 选举 的 ， 但 可 
用 以 图 12-11 中 的 两 台 IGMP 路 由 器 为 例 介绍 IGMP 查 询 器 的 选举 机 种 

















昌 器 时 ， 


























日 


| 〈 左 图 














1， 包 含 了 离开 信息 ， 多 许 迅 速 向 组 播 路 由 协议 〈 如 PIM) 报 
# 宽 组 播 组 或 易 变 型 组 播 组 成 员 而 言 是 非常 重要 的 。 





IP 地 址 最 小 的 路 由 器 成 为 














以 通过 IP 地 址 设置 间接 指定 查询 





为 查询 器 选举 初始 状态 下 








的 普 训 查询 报 文 传递 情况 ， 右 图 为 查询 选举 后 的 普 裔 查询 报 文 传递 情况 )。 





























' 
1 

Initial state ，End state 
' 
1 






Network 


RouterB 
10.10.1.2/2 


RouterA 


10.10.1.1/24 4， Querier 


对 Host 


一 -一 General Query from RouterA 1 
一 一 > General Query from RouterB ， 


图 12-11 查询 器 选举 示意 图 


Multicast 







' 
! RouterA E> es RouterB 


Non-Querier 


一 一 General Query from RouterA 


(1) 所 有 IGMPv2 路 由 器 在 初始 时 都 认为 自己 是 查询 器 ， 向 本 地 网 段 〈 本 示例 为 10.10.1.0/24) 内 的 所 








有 主机 和 路 由 器 发 送 普遍 组 查询 报 文 。 

















(2) 其 他 路 由 器 在 收 到 某 路 由 器 发 来 的 普遍 查询 报 文 后 ， 将 报 文 的 源 了 地 址 与 自 








己 的 接口 地 址 作 比 





较 。 通 过 比较 ，IP 地 址 最 小 的 路 由 器 将 成 为 查询 器 ， 其 他 路 由 器 成 为 非 查询 器 〈Non-Querier) 。 本 示例 


























中 ，RouterA 的 接口 





地 址 小 于 RouterB， 所 以 RouterA 最 终 当 选 为 查询 器 。 











所 有 非 查询 器 上 都 会 启动 一 个 定时 器 ， 即 “其 他 查询 器 存在 时 间 定 时 器 ”(Other Querier Present 











Timer) 。 在 该 定时 器 超时 前 ， 如 果 收 到 了 来 自 查 询 器 的 查询 报 文 ， 则 习 

















器 失效 ， 并 发 起 新 的 查询 器 选举 过 程 。 
了 效 的 Hello 定 时 器 。 
2. 离开 组 机 制 











| 
是 否 


该 定时 器 ， 否则， 就 认为 原 查 询 





这 就 相当 于 像 RIP、OSPF 这 些 动 态 路 由 协议 中 用 来 决定 邻居 路 由 器 


如 图 12-12 所 示 ， 如 果 两 路 由 器 都 运行 了 IGMPv2 协 议 ， 现 主机 HostC 想 离开 组 播 组 G2， 将 会 发 生 以 下 流 









RouterB 


Ethernet 


HostA 
(G1) 


HostB 
(G1) 


HostC 

(G2) 

一 -一 > Leave from G2 

一 一 > Group-Specific Query for G2 





图 12-12 离开 组 示意 图 


(1) 在 HostC 离开 组 时 向 本 地 网 段 内 所 有 组 播 路 由 器 《有 目 
内 所 有 组 播 路 由 器 的 永久 组 播 地 址 ) 发送 一 个 离开 组 播 组 G2 的 报 文 。 




















的 地 址 为 224.0.0.2， 这 是 一 个 代表 本 网 段 





《2) 当 查 询 器 收 到 离开 报 文 后 ， 会 发 送 针对 组 播 组 G2 的 特定 组 查询 报 文 ( 洲 
文 ?) ， 以 查询 本 网 段 内 是 否 还 有 其 他 组 播 组 G2 的 成 员 。 发 送 | 
一 次 ， 

















发 


















































会 
会 再 向 该 网 段 转 发。 
但 





12.2.3 IGMPv3 的 改进 





局 


IGMPv3 在 兼容 和 继承 IGMPv1 和 IGMPv2 的 基础 上 进 
组 播 组 功能 ， 即 主机 在 加 入 某 组 播 组 G 的 同时 能 





指定 源 的 组 播 组 。 


Query) 。 该 报 文 日 
发 送 的 数据 。 特 定 源 组 查询 


据 。 


1. IGMPv3 报 文 
IGMPv3 报 文 也 包含 两 大 类 : 查询 报 文 和 报 


IGMPvV3:1 


(1) 查询 








2 


(2) 报告 











日 查询 器 向 





报 文 不 仅 通 知 














二 后 ， 删除 





意 这 里 不 是 “普遍 查询 报 





























司 隔 和 





发 送 次 数 可 以 配置 。 缺 省 每 隔 1s 发 送 
送 两 次 。 同 时 启动 组 成 员 关 系 定时 器 Timer-Membership= 发 送 间隔 X 发 送 次 数 。 

(3) 如 果 本 网 段 内 不 存在 其 他 组 播 组 G2 的 成 员 ， 则 路 由 器 不 会 收 到 针对 组 播 组 
ETimer-Membership 定 时 器 起 日 


LG2 的 报告 报 文 ， 这 时 


(*，G2) 表 项 。 这 样 ， 组 播 组 G2 的 数据 再 到 达 路 由 器 时 ， 将 不 








其 他 成 员 ， 路 








器 继续 维护 该 组 成 员 关 系 。 























二 
党 
Me 


通 





过 




















简单 地 表示 为 (G，INCLUDE， 





据 ; 或 (G，EXCLUDE， 
据 ， 即 S1、S2 














之 


韦 





享 











在 报 文中 携 


路 由 器 主机 要 加 入 某 纪 
曾 加 了 针对 组 播 源 的 过 滤 模 式 (INCLUDE/EXCLUDE) ,将 


外 。 





网 段 内 特定 组 


上 相应 变化 。 





























全- 


万 





和 














民 文 。 相 较 IGMPv2， 其 变化 如 下 。 
及 文中 除了 普遍 组 查询 和 特定 组 查询 ， 新 增 了 特定 源 组 查询 报 文 《Group-and-Source-Specific 


在 Timer-Membership 定 时 器 超时 前 有 其 他 G2 组 播 组 成 员 以 报告 报 文 进行 响应 特定 组 查询 报 文 ， 则 表 
明 该 网 段 内 还 有 组 播 组 G2 的 ] 





步 增强 了 主机 的 控制 能 力 ， 支 持 指 定 组 播 源 / 
明确 地 要 求 接收 或 不 接收 茶 特定 组 播 源 S 发 出 的 组 播 信 
这 主要 是 为 了 配合 SSM 模型 发 展 起 来 的 ， 提 供 了 在 报 文 中 携带 组 播 源 信息 的 能 力 ， 使 组 播 成 


已 和 人 
见 肝 


加 入 











一 太 =| 








成 员 发 送 ， 用 于 查询 该 组 成 
或 多 个 组 播 源 地 址 来 达到 这 一 目 














播 纪 


带 一 个 





























组 记录 有 6 种 类 型 ， 如 表 12-3 所 示 。 





表 12-3 IGMPv3 报 告 报 文 中 的 组 记录 类 型 





内 十 


不 
口 


的 。 
日 播 组 ， 并 且 可 以 指定 只 接收 哪些 组 播 源 发 往 该 组 的 数 
组 播 组 与 源 列 表 之 间 的 对 应 关系 
(S1、S2...) ) ， 表 示 只 接收 来 自 指定 组 播 源 S1、S2 
(S1、S2...) ) ， 表 示 接 收 除 了 组 播 源 S1、S2 
在 接收 范 转 
(3) 当 组 播 组 与 组 播 源 列表 的 对 应 关系 发 4 
记录 (Group Record) 字段 中 做 














分 类 组 记录 类 型 | 含义 
当前 状态 报告 : IS IN 表示 2 1 播 组 与 源 列表 之 问 的 对 应 方式 为 INCLUDE (包括 )， 即 接 
用 于 对 查询 报 文 富 收 从 指定 源 列表 发 往 该 组 播 组 的 数据 
进行 响应 ， 通 告 表示 组 播 组 与 源 列表 之 间 的 对 应 方式 为 EXCLUDE (排除 )， 即 接 
自己 目前 的 状态 |。 IS-EX | 收 从 指定 源 列 表 以 外 的 组 播 源 发 往 该 组 播 组 的 数据 
过 滤 模 式 改变 报 表示 组 播 组 与 组 播 源 列 表 之 间 的 对 应 方式 由 EXCLUDE 转换 到 
告 ， 用 于 在 组 播 TO_IN INCLUDE。 如 果 这 时 指定 源 列表 为 室 ， 则 表示 离开 该 组 播 组 ， 因 
组 和 组 播 源 的 关 为 其 中 已 无 组 播 源 了 
系 发 生 改 变 时 ， 表示 组 播 组 与 组 播 源 列表 之 间 的 对 应 方式 由 INCLUDE 转换 到 
通告 过 滤 模 式 的 TO_EX EXCLUDE。 如 果 这 时 指定 源 列表 为 空 ， 则 表示 接收 所 有 组 播 源 
变化 发 来 的 数据 





























E 
愿 局 \ 





接收 特定 组 播 源 








发 往 组 G 的 数 





之 外 的 组 播 源 发 给 组 G 的 数 


E 了 变化 ， 在 组 播 成 员 发 给 查询 器 的 IGMPv3 报 告 报 文 的 组 


( 续 表 ) 





分 类 


组 记录 类 型 


含义 





源 列表 改变 报 
告 : 用 于 在 指定 


ALLOW 


表示 在 现 有 的 基础 上 , 还 希望 从 某 些 红 
前 对 应 关 
果 当 | 


: 系 为 INCLUDE， 则 向 现 有 源 
应 关系 为 EXCLUDE, 则 从 现 有 源 列表 中 删除 某 些 组 播 源 


播 源 接收 组 播 数据 。 如 果 当 
列表 中 添加 某 些 组 播 源 ， 如 





组 播 源 发 生 改 变 
时 ， 通 告 组 播 源 
列表 的 变化 





在 IGMPvV3 中 一 个 成 员 报 告 报 文 可 以 携 





果 当 前 对 应 关系 为 INCLUDE， 则 从 
源 ; 
些 组 播 源 。 它 是 与 上 面 的 ALLOW 类 








HH 





Gi 





一 个 组 播 组 ) ， 所 以 在 IGMPv3 组 播 中 的 报 文 数量 会 大 大 减少 。 
IGMPv3 没 有 定义 专门 的 成 员 离 开 报 文 


成 员 想 离开 这 个 组 
示 要 离开 对 应 的 组 
2. IGMPv3 工 作 机 币 


Spa 



































Li, 


(1) 特定 源 组 加 入 


IGMPv3 的 成 员 报 告 报 文 的 目 
个 永久 组 播 地 址 ) 。 通 过 寿 
收 特定 组 播 源 发 
据 ， 但 Host 仅 希望 接收 从 组 播 源 S1 发 行 
器 之 间 运 行 的 是 IGMPv1 或 IGMPv2，Host 加 入 组 播 组 G 时 无 法 对 组 播 源 进行 选择 ， 无 论 
自 组 播 源 S1 和 S2 的 数据 。 但 如 果 运 行 的 是 IGMPVv3，Host 可 以 选择 仅 接收 S1 



































如 果 主 机 和 路 
都 会 同时 接收 到 来 





匡 旦 示 和 二 
其 是 否 需 要 ， 





的 组 播 数 志 








[|， 则 会 发 送 〈225.1.1.1，TO_IN， 
| 播 组 。 





， 成 员 离 开通 过 特定 类 型 有 











HH 








E 报 告 报 文中 携 





























居 。 如 














名 





























组 播 数 据 。 

















体 有 以 下 两 种 方法 。 


GO Host 发 送 IGMPvV3 报 告 (G，IS_IN,， 























这 相 





组 播 组 G 发 送 数据 时 
(2) 特定 源 组 查询 


当 查 询 器 接收 到 改变 组 播 组 与 名 
向 组 播 成 员 发 送 特定 源 组 
器 根 和 











文 。 路 


























S2 








查询 报 文 。 
中 反馈 的 组 成 员 报告 更 新 该 纪 
Source 
”> 
Sl 
Source 


这 种 方法 最 彻底 ， 不 受 后 面 新 增 组 播 源 的 影响 ， 均 
@ Host 发 送 IGMPv3 报 告 〈G， 
一 来 就 间接 地 预示 着 仅 接 收 来 


仍 不 能 被 排除 。 


组 记录 ， 





人 








如 果 当 前 对 应 关系 为 EXCLUDE， 


表示 在 现 有 的 基础 上 ， 不 再 希望 从 某 些 组 播 源 接收 组 播 数据 。 如 


网 有 源 列 表 中 删除 某 些 组 播 


则 向 现 有 源 列 表 中 添加 某 
型 完全 相反 


多 个 组 播 组 信息 《而 之 前 的 IGMP 版 本 一 个 成 员 报告 只 能 携带 




















Al 








的 报告 报 文 来 传达 。 例 如 组 225.1.1.1 的 











《0) ) 的 报告 报 文 ， 通 过 清空 里 面 的 指定 组 播 源 来 预 








工作 机 制 上 ， 与 IGMPv2 相 比 ，IGMPv3 增 加 了 主机 对 组 播 源 的 选择 能 力 ， 包 括 特定 源 组 加 入 和 特定 


源 组 查询 两 方面 。 





的 地 址 为 224.0.0.22《〈 代 表 同 一 网 段 所 有 使 能 IGMPv3 的 路 由 器 ， 也 是 一 
主机 在 加 入 组 播 组 的 同时 能 够 明确 要 求 接收 ， 或 不 接 
12-13 所 示 ， 网 络 中 存在 $S1 和 S2 两 个 组 播 源 ， 均 向 组 播 组 G 发 送 组 播 数 
组 播 组 G 的 信息 。 





























(S1) ) ， 明 确 
只 接收 来 


























IS_ EX， (S2) ) ， 明 确 
自 S1 的 组 播 数 据 。 这 种 方法 不 彻底 ， 








日 对 应 的 源 列 表 。 








RouterA 


RouterD 


一 -> Multicast packets (S1, G) 


Multicast packets (S2,G) 








指定 仅 接收 组 播 源 S1 向 组 播 组 G 发 送 的 数据 。 
自 S1 的 数据 。 
排除 不 接收 指定 源 S2 向 组 播 组 G 发 送 的 数据 ， 





因为 如 果 网 络 中 有 新 增 的 组 播 要 向 


日 播 源 列表 的 对 应 关系 的 报告 时 《如 表 12-3 所 示 的 后 4 种 报告 报 文 ) ， 会 
如 果 组 播 成 员 希 望 接收 其 中 任意 


一 个 源 的 组 播 数 据 ， 将 反馈 报告 报 


图 12-13 特定 源 组 的 组 播 源 过 滤 示 意图 





12.2.4 IGMP SSM Mapping 





SSM 要 求 路 由 器 能 了 解 成 员 主 机 加 入 组 播 组 时 所 指定 的 组 播 源 。 如 果 成 员 主机 上 运行 IGMPv3， 可 以 在 


























IGMPv3 报 告 报 文中 直接 指定 组 播 源 地 址 。 

其 也 能 够 使 用 SSM 服 务 ， 路 由 器 上 需要 提供 IGMP SSM Mapping 功 能 。 

IGMPv3 的 报告 报 文 。 
SSM Mapping 的 机 种 

































































一 
































日 是 某 些 情况 下 ， 用 户主 机 内 能 运行 IGMPv1 或 IGMPv2， 为 了 使 
但 IGMP SSM Mapping 不 处 理 




















是 : 通过 在 路 由 器 上 静态 配置 SSM 地 址 的 映射 规则 ， 将 IGMPv1 和 IGMPv2 报 告 报 





文中 的 (*，G) 信息 转化 为 对 应 的 《S，G) 信息 ， 以 提供 SSM 组 播 服务 。 缺 省 情况 下 ，SSM 组 播 组 的 组 播 


了 地 址 范围 为 232.0.0.0 一 232.255.255.255。 
























































该 报 文中 所 携带 的 组 播 组 地 址 G， 然 后 根据 检查 结果 的 不 同 分 别 进行 处 理 。 
(1) 如 果 G 在 ASM (Any-Source Multicast， 任 意 源 组 播 ) 范围 内 ， 












































配置 了 SSM Mapping 规 则 后 ， 当 路 由 器 收 到 来 自 成 员 主机 的 IGMPv1 或 IGMPv2 报 告 报 文 时 ， 





和 先 检查 




















则 只 提供 ASM 服 务 。 


(2) 如 果 G 在 SSM 组 地 址 范围 内 ， 而 路 由 器 上 又 没有 G 对 应 的 SSM Mapping 规 则 ， 则 无 法 提供 SSM 服 








务 ， 丢 弃 该 报 文 。 



































(3) 如 果 G 在 SSM 组 地 址 范围 内 ， 路 











| 器 上 有 G 对 应 的 SSM Mapping 规 则 ， 则 依据 规则 将 报告 报 文中 

















所 包含 的 (*，G) 信息 映射 为 (S， 








G) 信息 ， 提 供 SSM 服 务 。 
HostB 运 行 IGMPv2、HostC 运 行 IGMPv1， 且 HostB 


如 图 12-14 所 示 ， 在 SSM 网 络 中 HostA 运 行 IGMPv3、 
和 HostC 无 法 升级 到 IGMPv3。 如 果 要 为 该 网 段 ! 
Mapping 。 

假如 在 Router 上 配置 以 下 4 个 组 播 组 〈 均 为 SSM 组 播 了 了 地址 ) 和 组 播 源 的 映射 关系 : 

® 232.0.0.0/8 - 10.10.1.1 

® 232.1.0.0/16 -10.10.2.2 

® 232.1.0.0/16 ~ 10.10.3.3 

® 232.1.1.0/24 10.10.4.4 









































IGMPv3 Report 
和 道 一 一 










HostA (IGMPv3) 
Recelver 

IGMPv2 Report 

for 232.1.2.2 


一 一 一 一 
a | HostB (IGMPv2) 


Receiver 


i HostC (IGMPv1) 


Receiver 


IGMPv]1 Report 
for 232.1.1.1 

















图 12-14 SSM Mapping 应 用 示例 











的 所 有 主机 提供 SSM 服 务 ， 需 要 在 Router 上 使 用 




















IGMP SSM 


经 过 映射 后 ，Router 收 到 HostB 和 HostC 的 成 员 报告 报 文 时 ， 首 先 判断 报 文 携带 的 组 播 组 了 地 址 是 否 在 


一 














SSM 范 围 内 ， 











个 组 地 址 映射 了 多 个 源 ， 则 生成 多 个 〈S，G) 表 项 。 在 映射 过 程 中 ， 一 个 组 播 组 地 址 只 























结果 发 现 是 在 SSM 范 围 内 ， 然 后 根据 配置 的 映射 规则 生成 如 表 12-4 所 示 的 组 播 表 项 。 如 果 一 


要 能 在 规则 中 匹配 


到 一 个 组 播 源 地 址 ， 就 会 生 成 一 条 相应 的 表 项 。 如 HostB 的 报告 报 文中 携带 的 组 播 组 IP 地 址 为 232.1.2.2， 从 

















前 面 的 组 播 组 和 组 播 源 映射 中 可 以 看 出 ， 这 样 一 个 组 播 组 了 地址 可 以 分 别 与 10.10.1.1、10.10.2.2 和 10.10.3.3 
匹配 ， 因 为 IP 地 址 232.1.2.2 可 以 是 232.0.0.0/8 中 的 一 个 地 址 ， 也 可 以 是 232.1.0.0/16 中 的 一 个 地 址 〈 它 又 与 














10.10.2.2 和 10.10.3.3 这 两 个 组 播 源 进行 了 映射 ，， 但 不 可 能 是 232.1.1.0/24 中 的 一 个 IP 














地 址 (因为 第 三 个 八 位 





不 可 能 一 样 ) ， 所 以 组 播 组 地 址 232.1.2.2 最 终 有 3 条 表 项 。 同 理 ， 组 播 组 地 址 232.1.1.1 最 终 有 4 条 表 项 。 

















表 12-4 为 HostB 和 HostC 生 成 的 组 播 表 项 


IGMPv1/IGMPv2 报告 报 文中 的 组 地 址 生成 的 组 播 表 项 








(10.10.1.1，232.1.2.2) 
232.1.2.2 (来 自 HostB) C10:10:2:2; 232:1.2.2) 
(10.10.3.3，232.1.2.2) 





(10.10.1.1, 232.1.1.1) 
CD. 10.224 2321.1,12 


232.1.1.1 (来 自 HostC) C01033, 232111) 








(10.10.4.4，232.1.1.1) 


12.2.5 IGMP 典 型 应 用 














IGMP 运行 在 成 员 主 机 和 与 其 直 连 的 组 播 路 由 器 上 ， 人 负责 组 播 组 成 员 关系 的 管 型 


E 和 维护 。 同 时 ， 为 了 将 


























到 为 IJGMP 的 典型 应 用 组 网 图 。 在 实际 应 用 中 可 












































心 | 











St 





的 方案 如 表 12-5 所 示 。 




















表 12-5 IGMP 的 几 种 典型 应 用 识 方案 


组 播 源 的 数据 顺利 转发 到 接收 者 ， 组 播 路 由 器 之 间 需 要 运行 组 播 路 由 协议 PIM 来 建立 转发 路 径 。 图 12-15 所 


成 员 主机 与 成 员 主 机 相连 的 路 由 器 接口 ”| 网 络 中 的 所 有 路 由 器 





启用 IGMPv1 


ASM 主机 动态 接 入 | 或 IGMPv2 协议 


启用 IGMPv1 或 IGMPv2 协议 | 


启用 PIM-DM 
或 PIM-SM 协议 





SSM 主机 动态 接 入 | 启用 IGMPv3 协议 启用 IGMPv3 协议 | 启用 PIM-SSM 协议 





SSM Mapping 启用 IGMPv1 启用 IGMPv3 协议 ， 使 能 SSM 
主机 动态 接 入 或 IGMPYv2 协议 |Mapping 功能 , 配置 源 和 组 映射 关系 









RouterB 


Sourcel 
HostB 


J 


HostC 


Source2 


RouterD 


O 在 接口 上 启用 IGMP 协 议 





图 12-15 IGMP 典 型 应 用 示例 














12.3 PIM 基 础 及 工作 原理 





























PIM【〔 协 议 无 关 组 播 ) 中 的 “协议 无 关 ” 指 的 是 与 单 播 路 由 协议 无 关 ， 即 PIM 不 需 








启用 PIM-SSM 协议 





要 维护 专门 的 单 播 路 由 





言 息 ， 而 是 直接 利用 单 播 路 由 表 的 路 由 信息 注意; 还 有 自己 的 组 播 路 由 表 ) ， 对 组 播报 文 执行 


RPF (Reverse Path Forwarding， 


文 。 有 关 RPF 原 理 将 在 本 章 后 面 上 
前 在 实际 网 络 中 ，PIM33 








目 








SM (PIM-Sparse Mode，PIM 稀 琉 模 式 ) ， 均 可 用 于 IPv4 和 IPv6 网 络 。 由 PIM 路 





逆向 路 径 转发 ) 检查 ， 检 查 通过 后 创建 组 播 路 





表 项 ， 从 而 转发 组 播报 


























具体 介绍 。 
要 有 两 种 模式 : PIM-DM (PIM-Dense Mode，PIM 密 集 模式 ) 、PIM- 
| 器 所 组 成 的 网 络 称 为 PIM 



































网 络 。i 
是 指 PIM 域 内 组 播 协议 。 
在 





通常 一 个 大 的 PIM 网 络 可 





以 划分 为 多 个 PIM 域 来 管理 和 控制 组 播报 文 的 转发 ， 这 里 的 域内 组 播 协议 即 





目前 的 PIM 协 议 中 ， 主 要 实现 方式 包括 PIM-DM、PIM-SM (ASM 模 型 ) 、PIM-SM (SSM 模 型 ) 3 








种 。SSM 模 型 与 ASM 模 型 之 间 的 最 大 差异 就 是 是 否 指定 了 组 播 源 ， 有 共 体 的 








区 别 如 表 12-6 所 示 。 


表 12-6 PIM 实 现 方式 比较 














协议 “| 模型 分 类 适用 场景 工作 机 制 
,。， | 适合 规模 较 小 、 组 播 组 成 员 相对 | 通过 周期 性 “扩散 - 剪 枝 ” 维 护 一 棵 连 
四 萌 型 “| 返 
PIM-DM | ASM 模 型 | 比较 密集 的 局 域 网 接 组 播 源 和 组 成 员 的 单 向 无 环 SPT 
Amoi | 采用 接收 者 主动 加 入 的 方式 建立 组 播 
ASM 模型 人 分 发 树 ， 需 要 维护 RP、 构 建 RPT、 注 
二 用 作 | 所 人 册 组 播 源 
PIM-SM = 
适合 网 络 中 的 用 户 预 先知 道 组 播 | 采用 PIM-SM 的 部 分 技术 ， 直 接 在 组 
SSM 模型 | 源 的 位 置 ， 直 接 向 指定 的 组 播 源 | 播 源 与 组 成 员 之 间 建立 SPT， 无 需 维 
请 求 组 播 数据 的 场景 护 RP、 构 建 RPT、 注 册 组 播 源 




















下 
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A 


12.3.1 PIM 











如 图 12-16 是 一 个 典型 的 向 








Source 


RouterA 























用 先 来 了 解 PIM 网 络 中 的 相关 基本 概念 ， 然 后 


和 域 PIM 网 络 ， 下 耳 
































具体 介绍 以 上 3 利 





PPIM 实 现 方式 的 各 功能 实现 原理 








o 





通过 这 个 示例 来 介绍 PIM 的 一 些 基 本 概念 。 











RouterE 


RouterD 1 


—»> Multicast packets 





















































ke bee 
图 12-16 典型 单 域 PIM 网 络 
1. PIM 路 由 器 
在 接口 上 使 能 了 PIM 协 议 的 路 由 器 即 为 PIM 路 由 器 。 在 建立 组 播 分 发 树 的 过 程 中 ，PIM 路 由 器 又 分 为 以 
下 几 种 。 
(1) 第 一 跳 路 由 器 : 在 组 播 转发 路 径 上 与 组 播 源 相连 且 负 责 转发 该 组 播 源 发 出 的 组 播 数 据 的 PIM 路 由 


器 。 如 图 12-16 中 的 RouterE 。 
(2) 叶子 路 由 器 : 与 月 
RouterA、RouterB、RouterC。 














户主 机 相连 的 PIM 路 由 器 ， 但 连接 的 月 











户主 机 不 一 定 为 组 成 员 ， 如 图 12-16 中 的 





(3) 最 后 一 跳 路 由 器 : 在 组 播 转 发 路 径 上 与 组 播 组 成 员 相 连 ， 且 负责 向 该 组 成 员 转 发 组 播 数 据 的 PIM 
路 由 器 。 如 图 12-16 中 的 RouterA、RouterB 。 
(4) 中 间 路 由 器 : 在 组 播 转发 路 径 上 第 一 跳 路 由 器 与 最 后 一 跳 路 由 器 之 间 的 PIM 路 由 器 。 如 网 12-16 中 








的 RouterD 。 
2. 组 播 分 发 树 


“组 播 分 发 树 ”" 是 PIM 网 络 
播 转 发 路 径 呈 现 树 型 结构 ， 也 称 为 组 播 分 发 树 (MDT，Maulticast Distribution Tree) 。 























hb 以 组 播 组 为 单位 ， 








在 PIM 路 




















组 播 分 发 树 主要 包括 以 下 两 种 。 





(1) 以 组 播 源 为 根 ， 以 组 播 组 成 员 为 叶子 的 组 播 分 发 树 





树 ) 。SPT 同时 适用 











RouterE ,RouterD ~“ RouterA/RouterB/RouterC 就 是 


SPT。 








于 PIM-DM 网 络 和 PIM-SM 网 络 。 如 图 中 的 




















器 上 建立 的 点 到 多 点 的 组 播 转发 路 径 。 





于 组 

















称 为 SPT (Shortest Path Tree， 最 短路 径 


棵 以 Source 为 根 ， 以 HostA、HostB 和 HostC 为 叶子 的 


(2) 以 RP (Rendezvous Point， 汇 集 点 ) 为 根 ， 以 组 播 组 成 员 为 叶子 的 组 播 分 发 树 称 为 RPT (RP 





12.3.3 节 介绍 。 


3. PIM 路 由 表 项 








PIM 路 
播 源 了 地 址 
组 播 数 据 的 接口 























如 


RouterD 的 GE1/0/0 和 GE2/0/0 接 


表 项 即 通 过 PIM 协 议 建 立 的 组 播 路 
〈 是 一 个 单 播 卫 地 志 











多 



































PIM 网 络 中 存在 





组 播 组 IP 地 址 ，* 表 示人 
PIM 路 由 器 上 建立 SPT 〈 最 短路 径 树 ) ， 同 时 适用 
不 知道 组 播 源 位 置 ， 只 知道 组 播 组 卫 地 址 ， 主 要 用 于 在 PIM 路 


SM 网 络 。 
PIM 路 

















RPF “逆向 路 径 转 发 ) 检查 的 情况 下 ， 按 照 如 下 的 规则 转发 。 
1 (S，G) 路 由 表 项 指导 报 文 转发 。 











(1) 如 果 存 在 




















器 上 可 能 同时 存在 以 上 两 种 路 





妈 中 RouterD 的 GE3/0/0 接 口 
口 ) 。 
丙种 路 由 表 项 : 
EF 意 组 播 源 。 其 中 ， 

















Tree， 汇 集 点 树 ) 。RPT 仅 适用 于 PIM-SM 网 络 。RP 是 通过 手动 配置 的 ， 具 体 RP 的 

































































| 表 项 。PIM 路 由 表 项 








上 ) 、 组 播 组 IP 地 址 (是 一 个 组 播 IP 地 夫 














(S，G) 路 





) 和 下 游 接 口 

















(S，G) 路 





















































(S，G) 路 


























(2) 如 果 不 存在 (S，G) 路 由 表 项 ， 
再 由 0(S，G) 路 由 表 项 指导 报 文 转 发 。 





(S，G) 路 由 表 项 ， 


12.3.2 PIM-DM 基 本 工 






































作 原 理 














PIM-DM (PIM 密集 模式 ) 使 用 * 
小 、 相 对 密集 的 网 络 。 在 实现 过 程 中 ， 它 会 假设 网 络 中 的 组 成 员 分 布 非 常 稠密 ， 每 个 
员 。 当 有 活跃 的 组 播 源 出 现时 ，PIM-DM 会 将 组 播 源 发 来 的 组 播报 文 扩散 到 整个 网 络 的 PIM 路 




















表 项 ， 则 
































剪 掉 不 存在 组 播报 文 转 发 的 分 支 。 
羊 通过 周期 怕 





PIM-DM 就 这 村 














散 














FE 地 进行 “扩散 (Flooding) 
播 源 和 组 成 员 的 单 向 无 环 SPT (Source Specific Shortest Path Tree， 源 指定 最 短路 径 树 ) 。 勾 
剪 校 ?进行 前 ， 被 裁剪 掉 的 分 文 
可 通过 嫁接 (Graft〉 机 制 主动 恢复 其 对 
































于 其 叶子 路 
组 播报 文 的 转发 。 








(将 组 播 数 扩 


中 主要 


上 ) 、 上 游 接口 
居 转 发 出 去 





| 表 项 或 (*，G) 路 由 表 项 。 
表 项 中 明确 指定 了 纪 
































j 于 指导 转发 的 信息 ， 
《本 地 路 由 器 上 接收 到 


] 途 及 工作 原理 将 在 本 章 


包括 组 














的 接 








， 如 图 ! 














S 表 示 组 播 源 IP 地 址 ，G 表 示 








日 播 源 S 的 位 置 ， 主 要 用 











于 PIM-DM 和 PIM-SM 网 络 ; 而 (*，G) 路 由 表 项 




















E”(Push) 模式 转发 组 播报 文 ， 一 般 应 ) 














] 于 组 播 组 成 员 规 模 相对 较 















































1 秦 








网 段 都 可 能 存在 组 














中 代 











器 上 建立 RPT (汇集 点 树 ) ， 仅 适用 于 PIM- 





I 表 项 。 当 收 到 源 地 址 为 S， 组 地 址 为 G 的 组 播报 文 ， 且 通过 














只 存在 〈*，G) 路 由 表 项 ， 则 先 依照 (*，G) 路 由 表 项 创建 


成 








EF， 再 裁 














剪 枝 〈Prune) ”过 程 来 构建 并 维护 一 棵 连接 组 
[ 果 在 下 一 次 “ 扩 
器 上 有 新 的 组 成 员 加 入 而 希望 提前 恢复 转发 状态 ， 也 




















综 上 所 述 ，PIM-DM 的 关键 工作 机 制 包括 邻居 发 现 、 扩 散 、 剪 枝 、 嫁 接 、 断 言 和 状态 刷新 。 其 中 ， 扩 
散 、 剪 枝 、 嫁 接 是 构建 SPT 的 主要 方法 。 下 面 分 别 予 以 介绍 。 

1. 邻居 发 现 (Neighbor Discovery) 
在 PIM 路 由 器 每 个 使 能 了 PIM 协 议 的 接口 上 都 会 对 外 发 送 Hello 报 文 。 封 装 Hello 报 文 的 组 播报 文 的 目的 
地 址 是 224.0.0.13〔 代 表 同 一 网 段 中 所 有 PIM 路 由 器 ， 是 一 个 永久 组 播 地 址 ) 、 源 地 址 为 接口 的 JP 地址 、 
TIL 数 值 为 1。 

Hello 报 文 的 作用 : 发 现 PIM 邻 居 、 协 调 各 项 PIM 协 议 报 文 参数 ， 并 维持 邻居 关系 。 
在 发 现 PIM 邻居 的 过 程 中 ， 同 一 网 段 中 的 PIM 路 由 器 都 必须 接收 目的 地 址 为 224.0.0.13 的 组 播报 文 。 
这 样 直接 相连 的 PIM 路 由 器 之 间 通 过 交互 Hello 报 文 后 就 可 以 彼此 知道 自己 的 邻居 信息 ， 建 立 邻 居 关 系 。 只 
有 邻居 关系 建立 成 功 后 ，PIM 路 由 器 之 间 才 能 相互 接收 PIM 协 议 报 文 ， 从 而 创建 组 播 路 由 表 项 。 

Hello 报 文中 携带 多 项 PIM 协 议 报 文 参数 ， 主 要 用 于 PIM 邻 居 之 间 PIM 协 议 报 文 的 控制 ， 协 调 各 项 PIM 协 
议 报 文 参数 。 具 体 参 数 包 括 以 下 几 种 。 

(1) DR_Priority: 表示 各 路 由 器 接口 竞选 DR《〈 指 定 路 由 器 ) 的 优先 级 ， 优 先 级 越 高 越 容易 获胜 ， 担 
当 IGMPv1 的 查询 器 〈 注 意 ， 如 果 是 运行 IGMPv2 或 1TGMPv3 则 采用 专门 的 查询 器 选举 机 制 ) ， 参 见 本 章 前 面 
12.2.2 节 。 

(2) Holdtime: 表示 保持 邻居 为 可 达 状 态 的 超时 时 间 ， 超 过 这 个 时 间 没 收 到 邻居 发 来 的 Hello 报 文 即 认 
为 该 邻居 不 可 达 。 这 与 RIP、OSPF 等 动态 路 由 协议 中 的 Hello 报 文 是 一 样 的 。 

(3) LAN_Delay: 表示 共享 网 段 内 传输 Prune《〈 剪 枝 ) 报 文 的 延迟 时 间 ， 超 过 这 个 时 间 ， 这 个 报 文 将 
被 丢弃 。 

(4) Neighbor-Tracking: 表示 邻居 跟踪 功能 。 

(5) Override-Interval: 表示 Hello 报 文中 携带 的 否决 剪 校 的 时 间 间 隔 。 当 超过 这 个 时 间 后 原来 的 前 枝 
状态 就 要 被 中 止 ， 恢 复 对 应 出 接口 的 组 播 转发 功能 。 

2. 维持 邻居 关系 

PIM 路 由 器 之 间 周 期 性 地 发 送 Hello 报 文 。 如 果 Holdtime 超 时 还 没有 收 到 该 PIM 邻 居 发 出 的 新 的 Hello 报 
文 ， 则 认为 该 邻居 不 可 达 ， 将 其 从 邻居 列表 中 清除 。 

PIM 邻 居 的 变化 将 导致 网 络 中 组 播 拓扑 的 变化 。 如 果 组 播 分 发 树 上 的 某 上 游 邻居 或 下游 邻居 不 可 达 ， 
将 导致 组 播 路 由 重新 收敛 ， 组 播 分 发 树 迁移 。 

3. 扩散 

当 PIM-DM 网 络 中 出 现 活跃 的 组 播 源 之 后 ， 组 播 源 发 送 的 组 播报 文 将 在 全 网 内 扩散 (Flooding) 。“ 扩 
散 ” 的 目的 其 实 就 是 为 了 下 一 步 的 “前 枝 * 和 “断言 "操作 。 当 PIM 路 由 器 接收 到 组 播报 文 ， 并 根据 单 播 路 由 表 
进行 RPF 检 查 通 过 后 ， 就 会 在 该 路 由 器 上 创建 (S，G) 表 项 。 在 PIM 路 由 器 的 下 游 接口 列表 中 包括 了 除 上 
游 接 口 之 外 ， 与 所 有 PIM 邻 居 相连 的 接口 ， 到 达 的 组 播报 文 将 从 各 个 下 游 接 口 转发 出 去 。 最 后 组 播报 文 扩 散 
到 达 叶 子路 由 器 ， 此 时 会 出 现 以 下 两 种 情况 。 

(1) 如 果 与 该 叶子 路 由 器 相连 用 户 网 段 上 存在 组 成 员 ， 则 将 与 该 网 段 相连 的 接口 加 入 〈S，G) 表 项 的 
下 游 接口 列表 中 ， 后 续 的 组 播报 文 会 向 组 成 员 转 发 。 

(2) 如 果 与 该 叶子 路 由 器 相连 用 户 网 段 上 不 存在 组 成 员 ， 且 不 需要 向 其 下 游 PTM 邻 居 转 发 组 播报 文 ， 
则 执行 “ 剪 枝 机 制 ， 从 组 播 路 径 中 去 掉 这 部 分 路 径 。 具 体 将 在 下 面 介 绍 。 

说 明 
有 时 组 播报 文 扩散 到 一 个 连 着 多 台 PIM 路 由 器 的 共享 网 段 时 ， 会 出 现 这 种 情况 : 这 些 PIM 路 由 器 上 进 
行 的 RPF 检查 都 能 通过 ， 从 而 有 多 份 相 同 报 文 转发 到 这 个 网 段 。 此 时 ， 需 要 执行 “断言 ”机制 ， 保 证 只 有 一 
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个 PIM 路 由 器 向 该 网 段 转发 组 播报 文 。 有 具体 将 在 下 面 介 绍 。 




















如 图 12-17 所 示 ， 在 PIM-DM 网 络 中 ，RouterA、RouterB 和 
居 关 系 。HostA 通 过 RouterA 与 HostA 之 间 运 行 的 IGMP 协 议 加 入 了 组 播 组 G，HostB 没有 加 入 任 
下 面 看 一 下 本 示例 中 扩散 的 具体 过 程 ， 从 中 也 反映 了 扩散 的 目的 之 一 


























Source RouterC RouterA 


一 人 人” Multicast packets 
-= > Flooding 
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图 12-17 扩散 示意 





(1) 组 播 源 S 开 始 向 组 播 组 G 发 送 组 播报 文 。 
《2) RouterC 接 收 到 源 发 送 的 组 播报 文 后 根据 单 播 路 由 表 进 行 RPF 检 查 。RPF 检 查 通过 后 创建 (S，G) 





表 项 ， 下 游 接 口 列表 包括 与 RouterA 和 RouterB 相 连 的 接 
























































6 请 条 3? 
六 校 ”。 


Receiver 


后 续 到 达 的 报 文 向 RouterA 利 





加 | HostA 


HostB 



































(3) RouterA 接 收 来 自 RouterC 的 组 播报 文 ， 通 过 RPF 成 功 检 查 后 在 本 地 创建 对 应 (S，G) 


下 游 接 口 列表 添加 与 组 成 员 HostA 相 连 的 接口 ， 后 续 到 达 的 报 文 向 
(4) RouterB 接 收 来 自 RouterC 的 组 播报 文 ， 昌 














以 执行 剪 枝 操 作 ， 不 会 发 送 组 播 数据 到 HostB 上 。 


4， 前 枝 (Prune) 


通过 上 面 介 绍 的 “扩散 ?特性 了 解 了 “ 剪 校 ” 的 目的 ， 本 节 要 具体 介绍 “ 剪 梳 ” 的 原理 。 
后 ， 通 过 RPF 检查 ， 但 是 下 游 网 段 没 有 组 播报 文 需求 时 ，PIM 路 由 器 会 
向 上 游 发 送 剪 术 报 文 ， 通 知 上 游 路 由 器 禁止 相应 下 游 接口 的 转发 ， 将 3 


当 PIM 路 由 器 接收 到 组 播报 文 









































昌 于 与 RouterB 相 















































删除 。 剪 枝 操作 由 叶子 路 








HostA 转 发 。 
连 下 游 网 段 不 存在 组 成 员 和 PIM 邻 居 ， 所 



































RouterC 之 间 通 过 发 送 Hello 报 文 建立 了 PIM 人 hb 


可 组 播 组 。 





上 RouterB 转 发 。 


表 项 ， 并 在 











其 从 (Ss，G) 表 项 的 下 游 接 口 列表 

















| 器 发 起 ， 逐 跳 向 上 ， 最 终 组 播 转 发 路 径 上 只 存在 与 组 成 员 相连 的 分 支 。 






































后 会 执行 以 下 操作 。 











路 由 器 为 被 裁剪 的 下 游 接口 局 动 一 个 剪 枝 定时 器 ， 
重新 在 全 网 范围 内 扩散 ， 新 加 入 的 组 成 员 可 以 接收 到 组 
次 将 向 上 发 起 剪 枝 操 作 。 通 过 这 种 周期 性 地 扩散 





定时 器 超时 后 接 


























前 枝 ，PIM-DM 周 









































(1) 如 果 下 游 叶 子路 
执行 “嫁接 ”机 制 。 
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器 有 组 成 员 加 入 ， 并 且 和 希望 在 下 次 “扩散 
体 将 在 下 面 介绍 。 











(2) 如 果 下 游 叶 子路 























制 ?。 具体 也 将 在 下 面 介绍 。 
如 图 12-18 所 示 ，RouterB 上 未 连接 组 成 员 。 在 这 种 情况 下 ，RouterB 会 向 上 游 发 起 剪 枝 请 求 。 

















如 下 。 


器 一 直 没 有 组 成 员 加 入 ， 和 希望 该 接 






































保持 抑 人 











1 恢复 转发 。 这 时 ， 组 播报 文 又 会 
播报 文 。 随 后 ， 下 游 不 存在 组 成 员 的 叶子 路 由 器 再 
期 性 地 刷新 SPT。 当 下 游 接口 被 剪 枝 


剪 枝 ”前 就 恢复 组 播报 文 转发 ， 则 


转发 状态 ， 则 执行 “状态 刷新 机 
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图 12-18 剪 枝 示意 








(1) RouterB 癌 上 游 RouteC 发 送 Prune 报 文 ， 通 知 RouterC 不 用 再 转发 数据 到 该 下 游 网 段 。 
(2) RouterC 收 到 Prune 报 文 后 ， 停 止 该 下 游 接 口 〈 也 就 是 与 RouterB 相 连 的 出 接口 ) 转发 ， 将 该 下 游 接 
口 从 CS，G) 表 项 中 删除 ， 后 续 到 达 的 报 文 只 向 RouterA 转 发 。 

5. 嫁接 (Graft) 

PIM-DM 通 过 “嫁接 机 制 * 可 使 有 新 组 成 员 加 入 的 网 段 快速 得 到 组 播报 文 。 叶 子路 由 器 通过 IGMP 了 人 解 到 
与 其 相连 的 用 户 网 段 上 ， 组 播 组 G 有 新 的 组 成 员 加 入 。 随 后 叶子 路 由 器 会 向 上 游 发 送 Graft 报 文 ， 请 求 上 游 
路 由 器 恢复 相应 出 接口 转发 ， 将 其 添加 在 〈S，G) 表 项 下 游 接口 列表 中 。 

嫁接 过 程 从 叶子 路 由 器 开始 ， 到 有 组 播报 文 到 达 的 路 由 器 结束 。 在 如 图 12-19 所 示 的 示例 中 的 具体 嫁接 
过 程 如 下 。 

(1) RouterB 希望 立即 恢复 对 HostB 组 播报 文 的 转发 ， 于 是 向 上 游 路 由 器 RouterC 发 送 Graft 报 文 ， 请 
求 恢复 相应 出 接口 转发 组 播报 文 。 

《2) RouterC 收 到 Graft 报 文 后 ， 恢 复 与 RouterB 相 连 的 出 接口 转发 ， 将 该 接口 添加 到 〈S，G) 表 项 中 的 
下 游 接 口 列表 中 ， 这 样 后 续 到 达 的 报 文 向 RouterB 转 发 ， 直 达 HostB。 
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一 Multicast packets 
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图 12-19 嫁接 示意 








6. 状态 刷新 (State Refresh ) 
在 PIM-DM 网 络 中 ， 为 了 避免 被 裁剪 的 接口 因为 “ 剪 枝 定 时 器 ”超时 而 恢复 转发 ， 离 组 播 源 最 近 的 第 一 

跳 路 由 器 会 周期 性 地 触发 State Refresh 报 文 在 全 网 内 扩散 。 收 到 状态 刷新 (State Refresh) 报 文 的 PIM 路 由 器 
会 刷新 剪 枝 定时 器 的 状态 ， 其 目的 就 是 查找 原来 被 前 村 的 路 径 上 是 否 有 组 播 成 员 要 加 入 ， 要 恢复 转发 状 
态 ， 是 一 种 被 动 中 止 剪 枝 状态 的 操作 。 在 原来 被 裁剪 接口 的 下 游 叶 子路 由 器 上 ， 如 果 有 新 的 组 成 员 加 入 ， 
则 立即 中 止 剪 枝 状 态 ， 对 应 路 径 的 组 播 转 发 ， 如 果 仍 没有 组 成 员 加 入 ， 则 该 接口 将 一 直 处 于 抑制 转发 状 
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7. 断言 (Assert) 
当 一 个 网 段 内 有 多 个 相连 的 PIM 路 由 器 通过 RPF 检查 后 向 该 网 段 转发 相同 的 组 播报 文 时 ， 则 需要 通 
过 “断言 机 制 ” 来 保证 只 有 一 个 PIM 路 由 器 向 该 网 段 转发 组 播报 文 ， 以 保证 组 成 员 不 接收 多 份 相同 的 组 报 文 。 
这 个 “断言 机 制 ? 是 在 PIM 路 由 器 接收 到 邻居 路 由 器 发 送 的 相同 组 播报 文 后 ， 以 组 播 的 方式 向 本 网 段 的 所 
有 PIM 路 由 器 发 送 Assert 报 文 ， 目 的 地 址 为 224.0.0.13〈 代 表 所 有 PIM 路 由 器 ) 。 其 他 PIM 路 由 器 在 接收 到 
Assert 报 文 后 ， 将 自身 参数 与 对 方 报 文 中 携带 的 参数 做 比较 ， 进 行 Assert 竞 选 。 竞 选 规则 如 下 。 
(1) 单 播 路 由 协议 优先 级 较 高 者 获胜 。 
(2) 如 果 优 先 级 相同 ， 则 到 组 播 源 的 路 径 开 销 较 小 者 获胜 。 
(3) 如 果 以 上 都 相同 ， 则 下 游 接 口 IP 地 址 最 大 者 获胜 。 
根据 Assert 竞 选 结果 ， 路 由 器 将 执行 不 同 的 操作 。 
(1) 获胜 一 方 的 下 游 接口 称 为 Assert Winner， 将 负责 后 续 对 该 网 段 组 播报 文 的 转发 。 
(2) 失败 一 方 的 下 游 接 口 称 为 Assert Loser， 后 续 不 会 对 该 网 段 转 发 组 播报 文 ，PIM 路 由 器 也 会 将 其 从 
(S，G) 表 项 下 游 接 口 列表 中 删除 。 
Assert 苑 选 结束 后 ， 该 网 段 上 只 存在 一 个 下 游 接 口 ， 只 传输 一 份 组 播报 文 。 所 有 Assert Loser 可 以 周期 性 
地 恢复 组 播报 文 转发 ， 从 而 引发 周期 性 的 Assert 竞 选 。 
如 图 12-20 所 示 ，RouterB 和 RouterC 均 通过 了 RPF 检 查 ， 创 建 了 《S，G) 表 项 ， 并 且 两 者 的 下 游 接口 连 
接 在 同一 网 段 ，RouterB 和 RouterC 都 向 该 网 段 发 送 组 播报 文 。 具体 断言 过 程 如 下 。 
(1) RouterB 和 RouterC 从 各 自 上 游 接 口 接 收 到 RouterA 发 来 的 组 播报 文 ，RPF 检 查 都 失败 ， 报 文 被 丢 
弃 。 这 时 ，RouterB 和 RouterC 就 会 分 别 疝 该 网 段 发 送 Assert 报 文 。 
(2) RouterB 在 收 到 RouterC 发 来 的 Assert 报 文 后 ， 将 自身 的 路 由 信息 与 Assert 报 文中 携带 的 路 由 信息 进 
行 比较 ， 由 于 RouterB 自 身 到 组 播 源 的 开销 较 小 而 获胜 。 于 是 后 续 组 播报 文 仍 然 向 该 网 段 转发 ，RouterC 在 接 
收 到 组 播报 文 后 仍然 由 于 RPF 检 查 失败 而 丢弃 。 
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图 12-20 断言 示意 






































(3) 同样 ，RouterC 在 收 到 RouterB 发 来 的 Assert 报 文 ， 也 将 自身 的 路 由 信息 与 报 文中 携带 的 路 由 信息 
进行 比较 ， 由 于 RouterC 自 身 到 组 播 源 的 开销 较 大 而 落 败 。 于 是 禁止 相应 下 游 接口 向 该 网 段 转 发 组 播报 文 ， 
将 其 从 〈S，G) 表 项 的 下 游 接口 列表 中 删除 。 










































































12.3.3 PIM-SM (ASM 模 型 ) 工作 原理 




























































































































































































































































































































































































































































































































































































































































































































































































PIM-SM 适 用 于 ASM 和 SSM 两 种 模型 。 在 ASM 模 型 中 ， 它 使 用 “ 拉 〈Pul) 模式 ”转发 组 播报 文 ， 一 般 应 
用 于 组 播 组 成 员 规模 相对 较 大 、 相 对 稀 玻 的 网 络 。 其 基本 工作 机 制 如 下 。 

(1) 在 网 络 中 维护 一 台 RP， 可 以 为 随时 出 现 的 组 成 员 或 组 播 源 服务 。 网 络 中 所 有 PIM 路 由 器 都 知道 
RP 的 位 置 。 

(2) 当 网 络 中 出 现 组 成 员 《〈 用 户主 机 通过 IGMP 加 入 某 组 播 组 G) 时 ， 最 后 一 跳 路 由 器 向 RP 发 送 Join 报 
文 ， 逐 跳 创 建 (*，G) 表 项 ， 生 成 一 棵 以 RP 为 根 的 RPT。 

(3) 当 网 络 中 出 现 活跃 的 组 播 源 时 ( 信 源 向 某 组 播 组 G 发 送 第 一 个 组 播 数据 时 ) ， 第 一 跳 路 由 器 将 组 
播 数据 封 装 在 Register 报 文中 单 播发 往 RP， 在 RP 上 创建 0(S，G) 表 项 ， 注 册 源 信息 。 

在 ASM 模 型 中 ，PIM-SM 的 关键 机 制 包括 邻居 发 现 、DR 竞 选 、RP 发 现 、RPT 构 建 、 组 播 源 注册 、SPT 
切换 、 剪 校 、 断 言 ， 同 时 也 可 通过 配置 BSR (Bootstrap Router， 自 举 路 由 器 ) 管理 域 来 实现 单个 PIM-SM 域 
的 精细 化 管理 。 其 中 “邻居 发 现 “ 断 言 机 制 * 与 上 节 PIM-DM 中 介绍 的 “邻居 发 现 *? 和 “断言 机 制 * 是 完全 一 样 
的 ， 参 见 即 可 。 

1. DR 竞选 

在 组 播 源 或 组 成 员 所 在 的 网 段 ， 通 常 同时 连接 着 多 台 PIM 路 由 器 。 这 些 PIM 路 由 器 之 间 通 过 交互 Hello 
报 文 成 为 PIM 邻 居 ，Hello 报 文中 携带 DR 优先 级 和 该 网 段 接口 地 址 。PIM 路 由 器 将 自身 条 件 与 对 方 报 文中 携 
带 的 信息 进行 比较 ， 选 举 出 唯一 的 DR〈 注 意 : 每 个 网 段 要 选举 一 个 DR， 并 不 是 整个 组 播 网 络 中 只 能 有 
台 DR ) 来 负责 源 端 或 组 成 员 端 组 播报 文 的 收发 。 竞 选 规则 如 下 。 

(1) DR 优先 级 较 高 者 获胜 〈 在 网 段 中 所 有 PIM 路 由 器 都 支持 DR 优先 级 的 情况 下 ) 。 

(2) 如 果 DR 优 先 级 相同 ， 或 该 网 段 存在 至 少 一 台 PIM 路 由 器 不 支持 在 Hello 报 文中 携带 DR 优先 级 ， 则 
卫 地 址 较 大 者 获胜 。 

(3) 如 果 当 前 DR 出 现 故障 ， 将 导致 PEIM 邻 居 关 系 超 时 ， 其 他 PIM 邻 居 之 间 会 触发 新 一 轮 的 DR 竞选 。 

在 ASM 模 型 中 DR 主要 作用 如 下 。 

(1) 在 连接 组 播 源 的 共享 网 段 ， 由 DR 负责 向 RP 发 送 Register 注 册 《〈 组 播 源 注 册 ) 报 文 。 与 组 播 源 相连 
的 DR 称 为 源 端 DR。 

(2) 在 连接 组 成 员 的 共享 网 段 ， 由 DR 负责 向 RP 发 送 Join 加 入 《组 成 员 加 入 ) 报 文 。 与 组 成 员 相 连 的 











DR 称 为 组 成 员 端 DR。 


PIM 路 由 器 都 必须 


RP。 


RP。 








2. RP 发 现 
RP 为 网 络 中 一 


一 个 RP 可 以 同 
(1) 静态 RP: 
et 


不 过 此 时 ， 


说 明 


BSR 〈 自 举 路 由 器 ) 是 PIM-SM 网 络 里 的 管理 





汪 位 自 








来 的 宣 
RP 的 映射 数据 库 
(包括 DR) 都 知道 RP 的 位 置 。 


中 I 日 心 \ 








库 ) 








台 重 要 的 PIM 路 由 器 ， 
知道 RP 的 地 址 ， 类 似 于 一 个 供 
为 多 个 组 播 组 服务 ，1 





时 


在 网 
在 PIM 域 内 选 






































息 ， 向 PIM-SM 域 内 的 所 有 PIM 路 


(Advertisement message) ， 然 
， 并 以 BSR 消 息 



























































于 处 理 组 播 源 DR 注册 信息 及 组 成 员 加 入 请 求 ， 网 络 中 的 所 有 
求 信息 的 汇聚 中 心 。 


个 组 播 组 只 能 对 应 一 个 RP 。 目 前 可 以 通 







































































过 以 下 方式 配置 























络 中 的 所 有 PIM 路 由 器 上 配置 相同 的 RP 地 址 ， 静 态 指 定 RP 的 位 置 。 
择 几 台 PIM 路 由 器 ， 配 置 C-RP 〈Candidate-RP， 候 选 RP) 来 动态 竞选 出 
还 需要 通过 配置 C-BSR (Candidate-BSR， 候 选 BSR) 选举 出 BSR， 来 收集 C-RP 的 通告 信 







































































器 发 布 。 





























核心 ， 负 责 收集 网 络 中 C-RP 〈Candidate-RP， 候 选 RP) 发 
后 将 为 每 个 组 播 组 选择 部 分 C-RP 信 息 组 成 RP-Set( 即 组 播 组 和 
ER 
































(BSR message ) 发 布 到 整个 PIM-SM 网 络 ， 从 而 使 网 络 内 的 所 有 路 














BSR 的 选举 过 程 中 ， 初 始 时 每 个 C-BSR 都 认为 自己 是 BSR， 向 全 网 发 送 Bootstrap 报 文 。Bootstrap 报 文中 
携带 C-BSR 地 址 、C-BSR 的 优先 级 。 每 一 台 PIM 路 由 器 都 收 到 所 有 C-BSR 发 出 的 Bootstrap 报 文 ， 通 过 比较 这 
些 C-BSR 信 息 ， 竞 选 产 生 BSR。BSR 的 竞选 规则 如 下 。 

(1) C-BSR 优 先 级 较 高 者 获胜 优先 级 数值 越 大 优先 级 越 高 〉。 
(2) 如 果 优 先 级 相同 ，IP 地 址 较 大 的 C-BSR 获 胜 。 
C-RP 竞 选 的 具体 过 程 。 
(1) C-RP 向 BSR 发 送 Advertisement 报 文 ， 报 文中 携带 C-RP 地 址 、 服 务 的 组 范围 和 C-RP 优 先 级 。 
(2) BSR 收 到 这 些 Advertisement 报 文 后 ， 将 这 些 信息 汇总 为 RP-Set (RP 集 ) ， 封 装 在 Bootstrap 报 文 
中 ， 发 布 给 全 网 的 每 一 台 PIM-SM 路 由 器 。 
(3) 各 PIM 路 由 器 收 到 Bootstrap 报 文 后 ， 使 用 相同 的 规则 进行 计算 和 比较 ， 从 多 个 针对 特定 组 的 C-RP 

中 竞选 出 该 组 RP。 规 则 如 下 。 

GD C-RP 接 口 地 址 掩 码 最 长 者 获胜 。 

@ C-RP 优 先 级 较 高 者 获胜 (优先 级 数值 越 大 优先 级 越 低 〉。 

@ 如 果 优 先 级 相同 ， 则 执行 Hash 函 数 ， 计 算 结 果 较 大 的 C-RP 获 胜 。 

由 如 果 以 上 都 相同 ， 则 C-RP 地 址 较 大 者 获胜 。 
1 于 所 有 PIM 路 由 器 使 用 相同 的 RP-Set 和 竞选 规则 ， 所 以 得 到 的 组 播 组 与 RP 之 间 的 对 应 关系 也 相同 。 
PIM 路 由 器 将 “组 播 组 一 一 RP” 对 应 关系 保存 下 来 ， 指 导 后 续 的 组 播 操 作 。 

3. RPT 构 建 

PIM-SM RPT 是 一 棵 以 RP 为 根 ， 以 存在 组 成 员 关 系 的 PIM 路 由 器 为 叶子 的 组 播 分 发 树 ， 如 图 12-21 所 
示 。 当 网 络 中 出 现 组 成 员 《〈 用 户主 机 通过 IGMP 加 入 某 组 播 组 G) 时 ， 组 成 员 端 DR 向 RP 发 送 Join 报 文 ， 在 通 
向 RP 的 路 径 上 逐 跳 创建 (*，G) 表 项 ， 生 成 一 棵 以 RP 为 根 的 RPT。 
















































































































































































































































































RouterD Receiver 


HostA 


Source 
RouterA 


Receiver 


HostB 
--->(*,G) Join 


图 12-21 RPT 示 例 











在 RPT 构 建 过 程 中 ，PIM 路 由 器 在 收发 Join 报 文 时 ， 都 会 进行 RPF 检查 。 接 收 者 DR 首先 执行 RPF 检 
查 : 查找 到 达 RP 的 单 播 路 由 ， 单 播 路 由 的 出 接口 为 上 游 接口 ， 下 一 跳 为 RPF 邻 居 。 然 后 ， 接 收 者 DR 向 该 
RPF 邻 居 发 送 Join 报 文 。RPF 邻 居 接 收 到 Join 报 文 后 ， 执 行 RPF 检 查 ， 如 果 检 查 通过 ， 继 续 向 上 游 发 送 。Join 
报 文 逐 跳 上 送 ， 直 至 到 达 RP。 

4. 组 播 源 注册 

组 播 源 注册 是 也 是 在 RP 上 进行 的 ， 但 注册 信息 是 通过 源 端 DR 传递 到 RP 的 。 在 PIM-SM 网 络 中 ， 任 
何 一 个 新 出 现 的 组 播 源 都 必须 首先 在 RP 处 注册 ， 然 后 才能 将 组 播报 文 传输 到 组 成 员 。 具 体 过 程 如 下 。 

(1) 组 播 源 将 组 播报 文 发 给 源 端 DR。 

(2) 源 端 DR 接收 到 组 播报 文 后 ， 将 其 封装 在 Register 报 文中 ， 发 送 给 RP。 

























































































































































































(3) RP 接 收 到 Register 报 文 后 ， 将 其 解 封 装 ， 并 根据 报 文 中 的 信息 建立 对 应 〈S， 








5. SPT 切 





在 PIM-SM 网 络 中 ， 一 个 组 播 组 只 





发 往 该 组 的 组 所 




















问题 Ae, 那 就 是 


大 











为 了 解决 此 问题 

RP 触 发 SPT 切 换 的 原理 : 1 
RPT 转 发 给 组 成 员 
(S，G) 表 项 ， 











如 图 12-22 所 示 ， 组 成 员 端 DR 周期 











播 数据 沿 RPT 发 送 到 达 组 成 员 。 








盘 报 文 都 必须 先 封装 在 汶 
为 RP 是 所 有 组 
，PIM-SM 人 允许 RP 或 组 
竺 RP 收 到 源 站 






































才 报 文 


对 应 一 个 RP， 只 构建 一 棵 RPT 。 在 未 进行 
E 有 册 报 文中 发 往 RP，RP 解 封装 后 ， 再 沿 RPT 分 发 。 但 这 样 会 
播报 文 速率 逐渐 较 大 时 会 对 RP 形成 





经 的 中 转 站 ， 


a 























(不 进行 解 封 〉， 


成员 端 DR 通过 
DR 的 注册 报 文 后 ， 将 封装 在 Register 报 文中 的 组 播报 文 直接 沿 


同时 RP 会 向 源 端 DR 逐 跳 发 送 Join 报 文 。 发 送 过 程 中 在 PIM 路 由 器 创建 























当 组 ] 
触发 SPT 切 换 来 减轻 RP 的 负担 。 




















G) 表 项 ， 然 后 将 组 


SPT 切 换 的 情况 下 ， 所 有 























出 现 一 个 


巨大 的 负担 。 























从 而 建立 了 RP 到 源 的 SPT。SPT 树 建立 成 功 后 ， 源 端 DR 直 接 将 组 成 员 加 入 的 组 播报 文 转发 
到 RP。 最 终 使 源 端 DR 和 RP 免除 频繁 的 封装 与 解 封装 。 

















过 阔 值 ， 则 触发 以 下 SPT 切 换 。 


Source 


一 一 > MI 
“= > (S, 
> (S, 





(1) 组 成 员 端 DR (如 RouterD) i 
DR 到 组 成 员 DR 的 SPT。 


(2) SPT 建 立 后 ， 组 成 员 ? 

















游 接 口 。 剪 枝 结束 后 ，RP 不 
如 果 SPT 不 经 过 RP，RP 会 继 
源 端 DR 不 再 














剪 枝 结 束 后 ， 
缺 





























时 都 会 触发 各 自 
























































的 SPT 切 换 。 











里 域 





6. BSR 管 














为 了 实现 





网 





域 。 这 样 一 方 




















供 专门 服务 。 




















络 管 











四 可 以 有 效 地 分 担 单一 BSR 的 管理 

















每 个 BSR 管 


里 域 中 维护 一 个 BSR， 














有 剩余 的 组 播 组 服务 。 





性 检测 组 








RouterA 
DR - 


ilticast packets 
G) Join 
G) Prune 


逐 跳 向 源 端 DR i 


iDR 会 沿 着 RPT 逐 跳 向 RP 发 送 剪 枝 报 文 ， 
了 沿 RPT 转 发 组 播报 文 到 组 成 员 端 

续 向 源 端 DR 逐 跳 发 送 剪 枝 # 
沿 “ 源 端 DR-RP” 的 SPT 转 发 组 播 和 
情况 下 ， 设 备 一 般 未 设置 组 播报 文 转发 速率 的 阔 值 





播报 文 的 转发 速率 ， 


























RouterB 










Receiver 
HostA 


图 12-22 组 成 员 端 DR 触发 SPT 切 换 示例 





逐 跳 发 送 Join 报 文 并 创建 〈(S，G) 表 项 ， 建 立 源 端 





民 文 ， 删 除 〈S， 
民 文 到 RP。 























里 精细 化 ， 可 以 选择 将 一 个 PIM-SM 网 络 划 分 为 多 个 BSR 管 
























































为 某 一 特定 地 址 范 


玉 力 ， 











另 一 方面 可 以 使 | 








私有 组 地 址 为 特定 








围 的 组 播 组 服务 。Global 域 : 











维 

















区 域 的 | 








一 旦 发 现 (S，G) 报 文 的 转发 速率 超 





删除 (S，G) 表 项 中 相应 的 下 


G) 表 项 中 相应 的 下 游 接口 。 


，RP 或 者 组 成 员 端 DR 在 接收 到 第 一 份 组 播报 文 


里 域 和 一 个 Global (全 局 ) 
j 户 提 
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个 BSR， 为 所 














BSR 管 理 域 是 针对 特定 地 址 范围 的 组 播 组 的 管理 区 域 ， 属 于 此 范围 的 组 播报 文 只 能 在 本 管理 域内 传 
播 ， 无 法 通过 BSR 管 理 域 边界 。 图 12-23 所 示 包 括 了 BSR1 和 BSR2 两 个 管理 域 。 对 于 有 相同 组 地 址 的 不 同 管 
理 域 ， 各 BSR 管 理 域 所 包含 的 PIM 路 由 器 互 不 相同 ， 同 一 PIM 路 由 器 不 能 从 属于 多 个 BSR 管 理 域 。 各 BSR 
管理 域 在 地 域 上 相互 独立 ， 且 相互 隔离 。Global 域 包含 PIM-SM 网 络 内 的 全 部 PIM 路 由 器 。 不 属于 任意 BSR 
管理 域 的 组 播报 文 ， 可 以 在 整个 PIM 网 络 范围 内 传播 。 




























































吧 
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Cc 二 2 

BSRI 
domain 





BSR2 CC-RP BSR 
domain 





图 12-23 BSR 管 理 域 示 意 
































如 果 从 组 播 组 地 址 范围 来 看 ， 每 个 BSR 管 理 域 为 特定 地 址 范围 的 组 播 组 提供 服务 ， 不 同 的 BSR 管理 域 
服务 的 组 播 组 地 址 范围 可 以 重 侮 。 但 每 个 组 播 组 地 址 只 在 本 BSR 管 理 域内 有 效 ， 相 当 于 私有 组 地 址 。 如 图 
12-24 所 示 ，BSR1 域 和 BSR3 域 对 应 的 组 播 组 地 址 范围 出 现 重 车 。 

不 属于 任何 BSR 管 理 域 的 组 播 组 ， 一 律 属于 Global 域 的 服务 范围 。 图 12-24 中 的 Global 域 组 地 址 范围 
是 除 G1、G2 之 外 的 G-G1-G2 组 播 地 址 。 





























六 BSRI 


Global 
六 G-G1-G2 address 











图 12-24 BSR 管 理 域 的 地 址 范围 示意 图 














Global 域 和 每 个 BSR 管 理 域 都 包含 针对 自己 域 的 C-RP 和 BSR 设 备 ， 这 些 设备 在 行使 相应 功能 时 仅 在 本 域 
内 有 效 。 即 BSR 机 制 和 RP 竞选 在 各 管理 域 之 间 是 隔离 的 。 每 个 BSR 管理 域 都 有 自己 的 边界 ， 该 管理 域 的 组 
播 信息 〈C-RP 宣 告 报 文 、BSR 自 举报 文 等 ) 不 能 跨越 域 传播 。 但 Global 域 的 组 播 信 息 可 以 在 整个 Global 域 
内 传递 ， 可 以 穿越 任意 BSR 管 理 域 。 






























































12.3.4PIM-SM (SSM 模 型 ) 工作 原理 


SSM 模 型 是 借助 PIM-SM 的 部 分 技术 和 IGMPv3/MLDv2 来 实现 的 ， 无 需 维护 RP、 无 需 构 建 RPT、 无 需 
注册 组 播 源 ， 可 以 直接 在 源 与 组 成 员 之 间 建 立 SPT。 
SSM 的 特点 是 网 络 用 户 能 够 预先 知道 组 播 源 的 具体 位 置 ， 因 此 用 户 在 加 入 组 播 组 时 可 以 明确 指定 从 哪 




















些 源 接收 信息 。 组 成 员 端 DR 了 解 到 用 户主 机 的 需求 后 ， 直 接 向 源 端 DR 发 送 Join 报 文 。Join 报 文 逐 跳 向 上 传 

输 ， 在 源 与 组 成 员 之 间 建 立 SPT。 

在 SSM 模 型 中 ，PIM-SM 的 关键 机 制 包括 邻居 发 现 、DR 竞 选 、 构 建 SPT。 其 中 “邻居 发 现 ” 机 制 与 12.3.2 

节 介 绍 的 PIM-DM 邻 居 发 现 机 制 一 样 ， 而 “DR 竞选 机制 与 12.3.3 节 介绍 的 PIM-SM (ASM 模 型 ) 的 “DR 竞 

选 ? 机 制 一 样 ， 分 别 参见 即 可 。 下 面 仅 介绍 其 SPT 构 建 原理 。 
下 面 以 图 12-25 为 例 介绍 PIM-SM (SSM 模 型 ) 的 SPT 构 建 原理 。 有 具体 过 程 如 下 。 


RouterA DR RouterD Receiver 
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DR HostA 


Source RouterB RouterC 
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<> 

一 Multicast packets sm 

----- > (Sl1.,G)Join RouterE HostB 
> (S52,G0) Join 


图 12-25 SPT 构 建 示 例 























(1) 担当 组 成 员 端 DR 的 RouterD、RouterE 借 助 IGMPv3/MLDv2 协 议 了 解 到 用 户主 机 有 到 相同 组 播 组 不 
同 组 播 源 的 组 播 需要 ， 于 是 分 别 逐 跳 向 源 方向 “SSM 模型 中 组 播 源 是 已 知 的 ) 发 送 Join 报 文 。 

(2) 沿途 各 PIM 路 由 器 通过 提取 Join 报 文中 的 相关 信息 分 别 创建 0(S1，G) 、 (S2，&nbsp; G) 表 项 ， 
最 终 就 形成 了 从 源 S1 到 组 成 员 HostA、 源 S2 到 组 成 员 HostB 的 SPT。 

(3) SPT 建 立 后 ， 源 端 就 会 将 组 播报 文 沿 着 SPT 分 发 给 组 成 员 。 





















































12.3.5 单 自 治 域 PIM-SM 恬 用 











大 多 数组 播 应 用 还 是 在 单个 AS、 单 个 PIM 域 环境 下 的 ， 所 以 在 此 仅 介绍 这 种 环境 下 的 典型 应 用 。 如 图 
12-26 所 示 ， 是 一 个 比较 大 型 的 组 播 网 络 ， 该 网 络 中 已 经 部 署 了 完备 的 IGP 路 由 ， 且 任意 网 段 路 由 可 达 。 网 
络 中 的 组 成 员 分 布 相对 比较 稀疏 ， 要 求 网 络 中 的 用 户主 机 能 够 按 需 接收 视频 点 播 信 息 ， 并 在 一 定 程度 上 节 
约 网 络 的 带宽 。 
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〇 需要 使 能 PIM-SM 的 接口 
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图 12-26 单 自 治 




















域 典型 PIM-SM 应 用 示例 





本 示例 中 ，HostA、HostB 和 HostC 为 三 个 末梢 网 络 中 的 信息 接收 者 ， 通 过 组 播 方式 接收 视频 点 播 信 息 ， 
整个 PIM 域 采用 PIM-SM 方 式 。RouterA 与 组 播 源 S1 相 连 ，RouterC 与 组 播 源 S2 相 连 ，RouterB 连 接 HostA， 


RouterE 和 RouterG 连 接 HostB 和 HostC。 在 所 有 路 
因为 网 络 中 的 组 播 源 分 布 比较 密集 ， 则 可 以 
RouterD 的 接口 配置 为 C-BSR 和 C-RP， 动 态 竞选 



































由 器 接口 上 启用 PIM-SM 协 议 。 





























选择 与 组 播 源 比 较 近 的 核心 设备 作为 C-RP。 将 RouterC 和 
为 PIM-SM 网 络 服务 的 BSR 和 RP。 在 RouterB 与 HostA 之 


间 ，RouterE、RouterG 与 HostB、HostC 之 间 均 运行 IGMP 协 议 。 


说 明 


RP 的 部 署 方式 可 以 基于 以 下 原则 (避免 在 一 个 PIM 域 中 不 同 路 由 器 上 分 别 使 用 静态 RP 和 动态 RP， 以 防 


止 RP 信息 不 一 致 〉。 

















(1) 中 小 型 网 络 : 建议 选择 静态 RP 方式 ， 对 设备 要 求 低 ， 也 比较 稳定 。 





























如 果 网 络 中 只 有 一 个 组 播 源 ， 缆 























E 议 选择 直 连 组 播 源 的 设备 做 为 静态 RP， 这 样 可 以 省 略 组 播 源 DR 向 RP 














注册 的 过 程 。 采 用 静态 RP 方式 要 确保 域内 所 有 路 由 器 《包括 RP 本 映 ) 的 RP 信息 以 及 服务 的 组 播 组 范围 全 网 


一 致 。 
(2) 大 型 网 络 : 

















中 存在 多 个 用 户 ， 且 分 布 密集 ， 
为 路 由 器 接口 配置 IGMP1 























可 以 有 

















协议 


所 有 路 由 器 必须 运行 相同 的 IGMP 


























保持 时 间 等 ) 必须 相同 。 如 
部 署 完 上 述 网 络 后 ，HostA 和 HostB 根 据 需 要 


在 网 络 边缘 配置 接口 静态 加 入 用 户 所 请 求 的 组 播 组 ， 可 以 提高 用 户 收看 频道 的 稳定 性 。 

















12.4 MSDP 基 础 及 了 








[ 作 原 理 





























] 动 态 RP 方式 ， 可 靠 性 高 ， 可 维护 性 强 。 
如 果 网 络 中 存在 多 个 组 播 源 ， 且 分 布 密集 ， 建 议 选择 与 组 播 源 比较 近 的 核心 设备 作为 C-RP; 如 果 网 络 
建议 选择 与 用 户 比 较 近 的 核心 设备 作为 CRP。 








时 ， 请 确保 接口 
































参数 配置 的 一 致 性 ， 即 遵循 如 下 原则 : 连接 在 同一 网 段 的 














版 本 《推荐 使 ) 


IGMPv2) ， 且 各 接口 参数 〈 如 查询 定时 器 、 组 成 员 关系 


























IGMP 版 本 或 各 参数 不 相同 ， 会 导致 不 同 路 由 器 上 IGMP 组 成 员 关 系 不 一 致 。 








向 RP 发 送 Join 消 息 ， 组 播 源 的 信息 能 够 到 达 接收 者 。 建 议 



































在 不 同 PIM-SM 域 间 的 RP 信息 是 隔离 的 ， 缺 省 情况 下 ， 组 播 源 只 向 本 域内 的 RP 注 册 ， 用 户主 机 只 向 











本 域内 的 RP 发 起 加 入 。 将 一 个 大 的 PIM-SM 网 络 划分 为 多 个 PIM-SM 域 后 ， 如 何 实现 PIM-SM 域 间 组 播 ， 使 


























本 PIM-SM 域 内 的 用 户主 机 能 够 接收 到 其 他 域内 组 播 源 发 出 的 组 播 数 据 就 成 了 现实 的 问题 。 这 就 是 MSDP 诞 
生 的 背景 。 它 可 使 不 同 PIM-SM 域 的 RP 之 间 能 够 互相 通信 ， 发 现 并 共享 其 他 PIM-SM 域 内 的 组 播 源 信息 。 但 
目前 MSDP 只 支持 在 IPv4 网 络 部 署 ， 且 仅 对 PIM-SM (ASM 模 型 ) 有 意义 ， 因 为 在 SSM 模 型 中 无 MSDP 所 需 
的 RP 配置 。 












































12.4.1 MSDP 对 等 体 概述 





























MSDP 要 互 连 不 同 PIM-SM 域 RP 的 过 程 就 是 需要 在 不 同 域 之 间 建 立 对 等 体 (peer) ， 主 要 用 于 不 同 ISP 网 
络 间 。 通 常 ，ISP 并 不 希望 借助 其 他 ISP 的 RP 来 向 自己 的 用 户 提供 服务 。 这 一 方面 是 出 于 安全 性 考虑 ， 另 一 
方面 如 果 其 他 ISP 的 RP 发 生 故 障 导致 业务 中 断 ， 用 户 投诉 的 却 是 自己 的 服务 。 借 助 MSDP， 每 个 ISP 可 以 实 
现 依靠 自己 的 RP 来 向 Internet 转 发 和 接收 组 播 数据 。 

使 用 MSDP 实 现 跨 域 组 播 的 首要 任务 是 建立 MSDP 对 等 体 。 通 过 配置 MSDP 对 等 体 使 各 个 PIM-SM 域 的 
RP 之 间 建 六 MSDP 对 等 体 关 系 ， 各 MSDP 对 等 体 之 间 彼 此 首尾 相连 ， 形 成 一 张 “MSDP 连 通 图 ”"， 连 接 各 PIM- 
SM 域 RP。 表 12-7 列 出 了 在 RP 上 可 以 创建 的 MSDP 对 等 体 类 型 (参见 图 12-27) 。 















































































































































表 12-7 在 RP 上 创建 的 MSDP 对 等 体 类 型 











MSDP 对 等 体 分 类 位 置 功能 
斑 | 源 端 RP 创建 SA 消息 并 发 送 给 远 端 MSDP 对 等 
离 纪 产 近 的 和 和 Ns Ge 
源 端 组 播 源 《Source) 最 近 的 | 体 ， 通 告 在 本 RP 上 注册 的 组 播 源 信息 


MSDP 对 等 体 ( 通 常 也 就 是 


对 等 体 a 
MSDR 对 二 人 源 端 RP， 如 RP1) 


源 端 MSDP 对 等 体 必须 配置 在 RP 上 ， 否 则 将 
无 法 向 外 发 布 组 播 源 信息 

接收 者 端 MSDP 对 等 体 在 收 到 SA 消息 后 ， 根 
据 该 消息 中 所 包含 的 组 播 源 信息 ， 跨 域 加 入 以 





接收 者 端 离 接收 者 〈Receiver) 最 近 | 该 组 播 源 为 根 的 SPT; 当 来 自 该 组 播 源 的 组 播 
MSDP 对 等 体 的 MSDP 对 等 体 (如 RP3) | 数据 到 达 后 ， 再 沿 RPT 向 本 地 接收 者 转发 。 


接收 者 端 MSDP 对 等 体 也 必须 配置 在 RP 上 ， 
否则 无 法 接收 到 其 他 域 的 组 播 源 信息 











( 续 表 ) 


MSDP 对 等 体 分 类 位 置 功能 

中 间 MSDP 对 等 体 把 从 一 个 远 端 MSDP 对 等 体 
收 到 的 SA 消息 转发 给 其 他 远 端 MSDP 对 等 体 ， 
其 作用 相当 于 传输 组 播 源 信息 的 中 转 站 





中 间 几 有 多 个 远 端 MSDP 对 等 体 


MSDP 对 等 体 的 MSDP 对 等 体 (如 RP2) 





说 明 
但 MSDP 对 等 体 并 不 是 只 能 配置 在 RP 上 ，MSDP 对 等 体 可 以 创建 在 任意 的 PIM 路 由 器 上 ， 在 不 同 角 色 的 
PIM 路 由 器 上 所 创建 的 MSDP 对 等 体 的 功能 有 所 不 同 。 在 普通 的 非 RP PIM 路 由 器 上 也 可 创建 MSDP 对 等 体 。 
如 在 图 12-27 中 的 RouterA 和 RouterB 上 ， 其 作用 仅 限 于 将 收 到 的 SA 消息 转发 出 去 。 但 为 了 保证 网 络 中 所 有 
RP 都 能 参与 源 信息 共享 ， 且 尽量 缩小 <MSDP 连 通 图 ”的 规模 ， 推 荐 的 配置 方案 : 在 且 仅 在 网 络 中 所 有 RP 上 
配置 MSDP 对 等 体 。 
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MSDP peers 





图 12-27 MSDP 对 等 体 示例 


12.4.2 MSDP 对 等 体 建立 流程 














MSDP 对 等 体 通过 TCP 传输 层 协 议 连 接 建 立 ， 使 用 的 端口 为 TCP 639。 两 台 设备 使 能 MSDP 并 互相 指定 
对 方 为 MSDP 对 等 体 后 ， 两 端 先 比较 IP 地 址 ，IP 地 址 较 小 的 一 端 会 启动 连接 重 试 定时 器 (ConnectRetry 
timer) ， 并 主动 发 起 TCP 连 接 。IP 地 址 较 大 的 一 端 负责 确认 是 否 有 TCP 连 接 在 端口 639 建 立 。TCP 连 接 建立 
后 ，MSDP 对 等 体 关 系 就 建立 了 ， 对 等 体 之 间 通 过 KeepAlive〈 保 持 活跃 ) 消息 维持 连接 关系 。 
下 面 以 图 12-28 中 的 RouterA 和 RouterB 之 间 MSDP 对 等 体 的 建立 为 例 介 绍 MSDP 对 等 体 建 立 的 流程 
如 下 。 
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图 12-28 MSDP 对 等 体 建立 流程 示例 





(1) 起 始 状 态 下 ， 两 台 路 由 器 的 MSDP 会 话 状 态 都 是 Down。 

(2) 在 两 端 使 能 MSDP 并 互相 指定 对 方 为 MSDP 对 等 体 后 ， 两 端 比较 建立 连接 使 用 的 IP 地 址 ， 由 于 
RouterA 的 IP 地 址 较 小 ， 所 以 进入 Connect( 连 接 ) 状态 ， 向 RouterB 发 起 连接 ， 并 启动 ConnectRetry 定时 
器 。 该 定时 器 用 于 定义 连接 重 试 的 周期 。RouterB 的 IP 地 址 较 大 ， 此 时 进入 Listen 〈 监 听 ) 状态 ， 等 待 对 端的 
TCP 连 接 。 

(3) TCP 连 接 建 并 成 功 后 ， 两 端的 MSDP 会 话 均 进入 Up 状态 ， 代 表 着 MSDP 对 等 体 建立 成 功 。 随 后 各 
自 向 对 方 发送 KeepAlive 消 息 ， 通 知 对 方 保持 MSDP 连 接 状 态 。 

说 明 
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在 MSDP 对 等 体 建立 TCP 连 接 过 程 中 可 以 进行 加 密 认 证 ， 以 保证 MSDP 对 等 体 建立 的 安全 性 。 配 置 了 认 
证 功能 后 ，MSDP 对 等 体 两 端 必须 都 使 用 相同 的 加 密 算法 和 密码 ， 才 能 正常 建立 TCP 连 接 。MSDP 支 持 MD5 
和 Keychain 两 种 加 密 方式 ， 二 者 在 使 用 时 互 斥 ，MSDP 对 等 体 之 间 只 能 选择 一 种 方式 加 密 。 



























































12.4.3 基于 MSDP 的 Anycast RP 




















前 面 说 了 ，MSDP 是 用 于 PIM-SM 域 间 的 组 播 网 络 连接 ， 但 是 MSDP 在 PIM-SM 域 内 也 有 一 种 特殊 的 应 
用 ， 那 就 是 它 的 一 种 特殊 RP 一 一 “ 任 播 RP”(Anycast RP) 功能 。 它 用 来 解决 传统 PIM-SM 域 中 每 个 组 播 组 
只 能 映射 到 一 个 RP， 当 网 络 负载 较 大 或 者 流量 过 于 集中 时 可 能 导致 的 压力 过 大 、RP 失 效 后 收敛 较 慢 、 组 播 
转发 路 径 非 最 优等 问题 。 

通过 MSDP 的 Anycast RP 功能 ， 可 以 在 同一 PIM-SM 域 内 配置 多 个 具有 相同 P 地 址 的 RP (相当 于 一 个 RP 
虚拟 组 ， 就 像 VRRP、HSRP 中 的 虚拟 组 一 样 ) 。 这 些 相 同 的 卫 地 址 都 配置 在 loopback 接 口上 ， 且 这 些 RP 之 
间 在 一 个 PIM-SM 域 内 建立 MSDP 对 等 体 关 系 ， 从 而 实现 RP 路 径 最 优 及 负载 分 担 。 总 体 而 言 ， 通 过 Anycast 
RP， 可 以 实现 以 下 三 方面 的 好 处 。 

(1) RP 路 径 最 优 : 组 播 源 向 距离 最 近 的 RP 进行 注册 ， 建 立 路 径 最 优 的 SPT; 接收 者 向 距离 最 近 的 RP 
发 起 加 入 ， 建 立 路 径 最 优 的 RPT。 

(2) RP 间 的 负载 分 担 : 每 个 RP 上 只 需 
实现 了 RP 间 的 负载 分 担 。 

(3) RP 间 的 宛 余 备份 : 当 某 RP 失 效 后 ， 原 先 在 该 RP 上 注册 或 加 入 的 组 播 源 或 接收 者 会 自动 选择 就 近 
的 RP 进 行 注 册 或 加 入 操作 ， 从 而 实现 了 RP 间 的 元 余 备 份 。 

如 图 12-29 所 示 ， 在 PIM-SM 域 内 组 播 源 Source1 和 Source2 向 组 播 组 G 发 送 组 播 数 据 ，Receiver1 和 
Receiver2 是 组 播 组 G 的 成 员 。 为 了 减轻 单 台 RP 的 负荷 ， 和 希望 采用 Anycast RP 来 实现 多 RP 负 载 均 衡 。 有 具体 部 
署 方 法 如 下 。 
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八 护 PIM-SM 域 内 的 部 分 源 /组 信息 、 转 发 部 分 的 组 播 数据 ， 从 而 
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圳 ----- 知 MSDP peers 








图 12-29 Anycast RP 典 型 应 用 示例 


(1) 在 PIM-SM 域内 选取 多 台 路 由 器 〈 如 图 中 的 RouterA 和 RouterB ) 成 为 待 选 RP。 
(2) 在 这 些 路 由 器 上 各 准备 一 个 Loopback 接 口 ， 并 配置 相同 的 接口 地 址 ， 如 图 中 两 路 由 器 的 
































Loopback1 接 口 。 
(3) 采用 以 下 方式 之 一 配置 RP。 
Q 使 用 静态 RP: 在 全 域 的 所 有 PIM-SM 路 由 器 上 配置 静态 RP 的 IP 地 址 ， 即 上 面 在 RouterA 的 
Loopback1 接 口上 配置 的 IP 地 址 。 
使 用 C-RP: 在 RouterA 和 RouterB 上 使 用 Loopback1 接 口 配 置 C-RP， 然 后 在 网 络 中 配置 C-BSR， 选 举 
产生 BSR， 用 于 集中 管理 组 播 域 中 的 RP、 组 播 源 注册 和 组 成 员 加 入 消息 。 注 意 : C-RP 的 地 址 不 能 与 C-BSR 
的 地 址 相同 。 
(4) 在 RouterA 和 RouterB 两 个 路 由 器 之 间 配 置 建立 PIM-SM 域 内 的 MSDP 对 等 体 连接 。 但 要 注意 ， 此 
时 不 能 使 用 两 路 由 器 上 Loopback1 接 口上 的 RP IP 地 址 ， 而 要 使 用 路 由 器 实际 连接 的 物理 接口 IP 地 址 。 













































































































































































































































































12.4.4 组 播 源 信息 在 域 间 的 传递 


























各 个 PIM-SM 域 的 RP 之 间 配 置 了 MSDP 对 等 体 关 系 后 ，MSDP 对 等 体 之 间 通 过 交互 SA (Source Active) 
消息 (SA 消息 中 携带 组 播 源 DR 在 RP 上 注册 时 的 (S5，G) 信息 ) 在 各 MSDP 对 等 体 之 间 的 信息 传递 ， 这 样 
任意 一 个 RP 发 出 的 SA 消息 能 够 被 其 他 所 有 的 RP 收 到 。 

如 图 12-30 所 示 ，PIM-SM 网 络 被 划分 为 4 个 PIM-SM 域 。PIM-SM1 域 内 的 组 播 源 Source 向 组 G 发 送 数 据 。 
PIM-SM3 域 内 的 Receiver 为 组 G 成 员 ，RP3 和 Receiver 之 间 维 护 了 一 棵 关于 组 G 的 RPT (RP-rooted Shared 
Tree， 根 RP 共享 树 〉。 
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图 12-30 MSDP 实 现 域 间 组 播 示例 











通过 在 RP1、RP2 和 RP3 之 间 建 立 MSDP 对 等 体 关 系 ， 可 以 使 Receiver( 接 收 者 ) 接收 到 Source 发 出 的 组 
播 数据 ， 具 体 过 程 如 下 。 

(1) Source 向 组 G 发 送 组 播 数 据 。DR1 将 组 播 数据 封装 在 Register 消 息 中 发 给 RP1。RP1 作 为 源 端 RP， 
创建 SA 消息 ， 携 带 Source 的 IP 地 址 、 组 G 地 址 和 RP1 地 址 发 送 给 对 等 体 RP2。 

(2) RP2 接 收 到 该 SA 消息 后 ， 执 行 RPF (Reverse Path Forwarding， 首 向 路 径 转 发 ) 检查 ， 通 过 后 向 
RP3 转 发 。 

(3) RP3 接 收 到 该 SA 消息 后 ， 同 样 先 执 行 RPF 检 查 ， 由 于 RP3 上 存在 (*，G) 表 项 ， 表 示 本 域内 存在 
组 G 成 员 ，RP3 直 接 创 建 (S，G) 表 项 。 

(4) 然后 RP3 疝 Source 方 向 逐 跳 发 送 (S，G) 加 入 消息 ， 创 建 一 条 从 Source 到 RP3 的 组 播 路 径 〈 源 
树 ) 。 组 播 数 据 沿 源 树 到 达 RP3 后 ， 再 沿 RPT 向 接收 者 转发 。 




























































































(5) 接收 者 接收 到 组 播 数据 后 ， 自 行 决定 是 否 发 起 SPT 切 换 。 











12.4.5 SA 消息 转发 的 控制 


























在 MSDP 协 议 中 ，SA( 源 激活 ) 消息 在 MSDP 对 等 体 之 间 转 发 ， 除 了 RPF 检 查 ， 还 可 以 配置 各 种 转发 策 
略 的 过 滤 ， 从 而 只 接收 和 转发 来 自 正确 路 径 并 通过 过 滤 的 SA 消息 ， 以 避免 SA 消息 传递 环 路 。 另 外 ， 可 以 
在 MSDP 对 等 体 之 间 配 置 MSDP 全 连接 组 (Mesh Group) ， 以 避免 SA 消息 在 MSDP 对 等 体 之 间 的 泛滥 。 
1. SA 消息 的 RPF 检 查 规则 
为 了 防止 SA 消息 在 MSDP 对 等 体 之 间 被 循环 转发 ，MSDP 对 接收 到 的 SA 消息 执行 RPF 检 查 ， 在 消息 传递 
的 入 方向 上 进行 严格 的 控制 。 不 符合 RPF 规 则 的 SA 消息 ， 将 被 丢弃 。 
RPF 检 查 的 主要 规则 : MSDP 设 备 收 到 SA 消息 后 ， 根据 MRIB (Multicast RPF Routing Information 
Base， 组 播 RPF 路 由 信息 库 ) 确定 到 源 RP〈 即 创建 该 SA 消息 的 RP) 最 佳 路 径 的 下 一 跳 是 哪个 对 等 体 。 这 个 
对 等 体 也 称 为 “RPF 对 等 体 "。 如 果 发 现 SA 消 息 是 从 RPF 对 等 体 发 出 的 ， 则 接收 该 SA 消息 ， 并 向 其 他 对 等 体 
转发 。 
此 外 ， 还 有 如 下 的 一 些 RPF 检 查 规则 ，SA 消 息 在 转发 时 必须 遵守 。 
(1) 发 出 SA 消息 的 对 等 体 就 是 源 RP， 则 接收 该 SA 消息 并 向 其 他 对 等 体 转发 。 
(2) 接收 从 静态 RPF 对 等 体 到 来 的 SA 消息 。 一 台 路 由 器 可 以 同时 与 多 个 路 由 器 建立 MSDP 对 等 体 关 
系 。 用 户 可 以 从 这 些 远 端 对 等 体 中 选取 一 个 或 多 个 配置 为 静态 RPF 对 等 体 。 
(3) 如 果 一 台 路 由 器 只 拥有 一 个 远 端 MSDP 对 等 体 ， 则 该 远 端 对 等 体 自动 成 为 RPF 对 等 体 ， 路 由 器 接 
收 从 该 远 端 对 等 体 发 来 的 SA 消息 。 
(4) 发 出 SA 消息 的 对 等 体 与 本 地 路 由 器 属于 同一 Mesh Group， 则 接收 该 SA 消息 。 来 自 Mesh Group 的 
SA 消息 不 再 向 属于 该 Mesh Group 的 成 员 转 发 ， 但 向 该 Mesh Group 之 外 的 所 有 对 等 体 转 发 。 
(5) 到 达 源 RP 的 路 由 需要 跨越 多 个 AS 时 ， 接 收 从 下 一 跳 AS〈 以 AS 为 单位 ) 中 的 对 等 体 发 出 的 SA 消 
息 ， 如 果 该 AS 中 存在 多 个 远 端 MSDP 对 等 体 ， 则 接收 从 IP 地 址 最 高 的 对 等 体 发 来 的 SA 消息 。 
2. MSDP 全 连接 组 (Mesh Group ) 
当 网 络 中 存在 多 个 MSDP 对 等 体 时 ， 很 容易 导致 SA 消息 在 对 等 体 之 间 泛 小 。 同 时 ， MSDP 对 等 体 对 每 
一 个 到 来 的 SA 报 文 进行 RPF 检 查 ， 给 系统 造成 很 大 的 负担 。 将 多 个 MSDP 对 等 体 加 入 同一 个 全 连接 组 
(Mesh Group) ， 就 可 以 大 幅度 减少 在 这 些 MSDP 对 等 体 之 间 传 递 的 SA 消息 。 
Mesh Group 成 员 可 以 都 属于 同一 个 PIM-SM 域 ， 也 可 以 分 布 在 多 个 PIM-SM 域 中 ， 可 以 都 位 于 同一 个 
AS， 也 可 以 位 于 多 个 AS 中 。 但 属于 同一 个 Mesh Group 的 所 有 成 员 之 间 必 须 两 两 建立 MSDP 对 等 体 连接 ， 
并 承认 对 方 为 该 Mesh Group 的 成 员 。 
如 图 12-31 中 的 RouterA、RouterB、RouterC 和 RouterD ， 加 入 同一 个 Mesh Group， 则 必须 在 每 台 路 由 
器 上 配置 与 其 他 三 台 路 由 器 建立 MSDP 对 等 体 关 系 。 
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图 12-31 Mesh Group 内 部 成 员 之 间 的 MSDP 对 等 体 连接 示例 





当 Mesh Group 内 部 成 员 接 收 到 SA 消息 后 ， 首 先 检查 该 SA 消息 的 来 源 。 

(1) 如 果 该 SA 消息 来 自 Mesh Group 外 部 的 某 个 MSDP 对 等 体 ， 则 对 该 SA 消息 进行 RPF 检 查 。 如 果 检 查 
通过 ， 疝 Mesh Group 内 其 他 所 有 成 员 转 发 。 

(2) 如 果 该 SA 消息 来 自 Mesh Group 内 部 成 员 ， 则 不 进行 RPF 检 查 ， 直 接 接收 。 同 时 也 不 再 向 Mesh 
Group 内 其 他 成 员 转 发 。 

3. SA 消息 过 滤 
缺 省 情况 下 ，MSDP 不 过 滤 SA 消 息 ， 从 一 个 域 中 发 出 的 SA 消息 可 以 被 传递 到 全 网 的 MSDP 对 等 体 。 然 
而 有 些 PIM-SM 域 的 (S，G) 表 项 只 适用 于 本 域内 转发 ， 如 一 些 本 地 组 播 应 用 使 用 了 全 局 的 组 播 组 地 址 ， 
或 组 播 源 用 的 是 私 网 地 址 10.x.x.x。 

如 果 不 加 过 滤 ， 这 些 (S$，G) 表 项 就 会 经 过 SA 消息 传递 到 其 他 MSDP 对 等 体 。 针 对 这 种 情况 ， 可 以 配 
置 SA 消息 的 过 滤 规 则 《一 般 使 用 ACL 定 义 过 滤 的 规则 ) ， 并 在 创建 、 转 发 或 接收 SA 消息 时 使 用 这 些 规则 ， 
就 可 以 实现 SA 消息 过 滤 。 

























































































































































































12.4.6 MSDP 的 应 用 














通过 前 面 的 介绍 ， 我 们 已 经 知道 ，MSDP 既 可 以 应 用 于 不 同 PIM-SM 域 之 间 ， 又 可 应 用 于 同一 PIM-SM 
域 之 内 ; 既 可 应 用 于 不 同 AS 的 PIMS-SM 域 之 间 ， 又 可 应 用 于 同一 个 AS 的 PIM 域 之 间 。 下 面 分 别 简单 介绍 。 

1. MSDP 在 AS 内 PIM-SM 域 间 组 播 应 用 

组 播 源 和 组 成 员 处 于 同一 AS 内 不 同 PIM-SM 域 间 ， 可 以 在 RP 上 配置 MSDP 对 等 体 ， 实 现 域 间 组 播 。 如 图 
12-32 所 示 ， 在 两 个 PIM-SM 域 的 RP 之 间 配 置 MSDP 对 等 体 ， 可 以 共享 对 方 域内 的 组 播 源 信息 。 
















































































图 12-32 MSDP 在 AS 内 PIM-SM 域 间 的 组 播 应 用 示例 





2. MBGP 在 AS 间 PIM-SM 域 间 组 播 的 应 用 

MBGP 也 可 应 用 于 不 同 AS 间 的 PIM-SM 域 间 ， 此 时 在 MSDP 对 等 体 之 间 建 立 MBGP 对 等 体 ， 可 以 保证 SA 
消息 顺利 通过 RPF 检 查 。 配 置 时 将 MBGP 对 等 体 和 MSDP 对 等 体 建立 在 相同 的 接口 上 。 
如 图 12-33 所 示 ， 各 个 PIM-SM 中 的 RP 并 不 直接 相连 ， 且 与 ASBR 不 在 同一 台 路 由 器 上 。 在 它们 之 间 建 立 
MSDP 对 等 体 后 ， 为 了 保证 SA 消息 顺利 通过 RPF 检 查 ， 在 这 些 RP 之 间 配 置 MBGP 对 等 体 。 

(1) IBGP: 在 属于 同一 AS 的 RP 之 间 建 立 IBGP 对 等 体 。 例 如 : RP1 和 RP2、RP3 和 RP4。 

(2) EBGP: 在 属于 不 同 AS 的 RP 之 间 建 立 EBGP 对 等 体 。 例 如 : RP1 和 RP3、RP2 和 RP4。 
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图 12-33 MSDP 在 不 同 AS 间 的 组 播 应 用 


3. 使 用 静态 RPF 对 等 体 实现 AS 间 组 播 

在 12.4.5 节 介绍 的 SA 消息 的 RPF 检 查 规则 中 提 到 ， 如 果 收 到 的 SA 消息 是 从 “RPF 对 等 体 ” 发 来 的 ， 则 接收 

该 消息 并 向 其 他 对 等 体 转发 。 如 果 在 MSDP 对 等 体 之 间 手 工 指定 对 方 互 为 静态 RPF 对 等 体 ， 从 静态 RPF 对 等 

体 收 到 的 SA 消息 将 不 做 RPF 检 查 。 
静态 RPF 配 置 不 当 容易 引起 SA 消息 环 路 ， 请 慎重 使 用 。 通 常 在 跨 AS 的 MSDP 对 等 体 之 间 建 并 静态 RPF 

对 等 体 。 如 图 12-34 所 示 ， 在 RP1 和 RP2 之 间 配 置 MSDP 对 等 体 ， 在 RP1 和 RP2 上 分 别 配 置 对 方 为 自己 的 静态 

RPF 对 等 体 。 
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图 12-34 使 用 静态 RPF 对 等 体 实现 AS 间 组 播 


4. Anycast RP 

在 12.4.3 节 中 介绍 到 ，MSDP 也 可 以 在 PIM-SM 域 内 通过 Anycast RP 功能 得 到 应 用 ， 实 现 域内 多 个 RP 间 的 
负载 分 担 和 容错 。 

如 图 12-35 所 示 ，Switch1 和 Switch2 作 为 RP， 两 者 之 间 建 立 MSDP 对 等 体 关 系 。 借 助 MSDP 对 等 体 进行 域 
内 组 播 ， 接 收 者 选择 距离 最 近 的 RP 发 送 加 入 消息 以 构建 RPT 树 ; 组 播 源 可 以 选择 距离 最 近 的 RP 进行 注册 ， 
RP 之 间 交 互 SA 消 息 ， 共 享 源 信息 。RP 加 入 以 源 端 DR 为 根 的 SPT， 引 入 组 播 数据 ， 接收 者 接收 到 组 播 数 据 
后 自行 决定 是 否 发 起 SPT 切 换 。 
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12-35 MSDP 在 PIM-SM 域 内 的 Anycast RP 应 用 



































二 层 组 播 是 指 组 播 信 息 在 数据 链 路 层 的 按 需 分 发 。 二 层 组 播 的 基本 原理 是 使 二 层 设备 可 以 识别 组 播 组 
JP 地址 ， 建 立 组 播 组 IP 地 址 与 端口 对 应 关系 的 组 播 转 发 表 ， 指 导 组 播 数据 在 数据 链 路 层 的 转发 。 














12.5.1 本 层 组 播 概述 











在 很 多 情况 下 ， 组 播报 文 要 不 可 避免 地 经 过 一 些 二 层 交 换 设备 ， 尤 其 是 在 局 域 网 环境 里 ， 许 多 接 入 交 
换 机 都 是 二 层 的 。 如 图 12-36 所 示 ， 在 组 播 用 户 和 三 层 组 播 设备 Router 之 间 ， 经 过 二 层 交 换 机 Switch。 
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图 12-36 二 层 组 播 网 络 示例 














当 Router 将 组 播报 文 转发 至 Switch 以 后 ，Switch 负 责 将 组 播报 文 转发 给 组 播 用 户 。 由 于 组 播报 文 的 目的 
IP 地 址 为 组 播 组 IP 地 址 ， 在 二 层 设备 上 是 学 习 不 到 这 一 类 MAC 表 项 的 ， 因 此 ， 组 播 数据 报 文 就 会 在 所 有 
接口 进行 广播 ， 和 它 在 同一 广播 域内 的 组 播 成 员 和 非 组 播 成 员 都 能 收 到 组 播 数 据 报 文 。 这 样 不 但 浪费 了 网 
络 带 宽 ， 而 且 影 响 了 网 络 信息 安全 。 

通过 以 下 这 些 二 层 组 播 技术 ， 可 以 控制 这 种 广播 。 

(1) IGMP Snooping/MLD Snooping: 二 层 设 备 侦 听 组 播 用 户 和 上 游 路 由 器 之 间 的 IGMP/MLD 报 文 ， 建 
立 二 层 组 播 转发 表 ， 控 制 组 播 数据 报 文 转发 。 

(2) IGMP Snooping Proxy/MLD Snooping Proxy: IGMP Snooping/MLD Snooping 协议 报 文 代理 ， 可 
减少 协议 报 文 转发 ， 降 低 上 游 设 备 的 性 能 压力 ， 节 省 上 游 网 络 带 宽 。 

(3) 组 播 YLAN: 上 游 设 备 只 把 组 播 数 据 传送 给 一 个 指定 VLAN， 然 后 由 此 VLAN 在 二 层 设备 上 把 组 
播 流 复制 到 其 他 VLAN 中 ， 可 大 大 减少 上 游 网 络 带宽 的 浪费 。 

(4) 二 层 组 播 CAC (Call Admission Control， 呼 叫 许可 控制 ) : 控制 组 播 组 的 数量 和 和 带宽， 避免 出 现 
接 入 带宽 需求 超出 汇聚 网 络 带宽 的 情况 ， 保 证 大 多 数 用 户 的 服务 质量 。 

(5) 基于 VLAN 的 可 控 组 播 : 控制 用 户 加 入 某 个 组 播 组 的 权限 。 当 用 户 请 求 加 入 某 个 组 播 组 时 ， 二 层 
设备 必须 对 这 个 请 求 进行 验证 ， 拒 绝 非法 或 越权 的 请 求 。 

此 外 ， 通 过 二 层 组 播 SSM Mapping， 还 可 以 使 IGMPv1 和 IGMPv2 版 本 的 主机 享受 SSM 的 组 播 服务 。 




































































































































































































































































12.5.2 IGMP Snooping/MLD Snooping 基 本 原理 














IGMP Snooping/MLD Snooping 是 二 层 组 播 的 基本 功能 ， 可 以 实现 组 播 数 据 在 数据 链 路 层 的 转发 和 控 
制 。 当 主机 和 上 游 三 层 设备 之 间 传 递 的 GMP/MLD 协 议 报 文 通过 二 层 设备 时 ，IGMP Snooping/MLD 
Snooping 分 析 报 文 携带 的 信息 ， 根 据 这 些 信息 建立 和 维护 二 层 组 播 转 发 表 ， 从 而 指导 组 播 数据 在 数据 链 路 
层 按 需 转 发 。 

IGMP Snooping 用 于 IPv4 组 播 网 络 ，MLD Snooping 用 于 IPv6 组 播 网 络 。 除 了 使 用 的 地 址 和 协议 报 文 名 
称 不 同 ， 二 者 实现 原理 相同 。 下 文 以 IGMP Snooping 为 例 描述 工作 原理 。 

如 图 12-37 所 示 ， 当 组 播 数 据 从 三 层 组 播 设 备 Router 转 发 下 来 以 后 ， 处 于 接 入 边缘 的 二 层 设 备 Switch 负 
责 将 组 播 信息 转发 给 用 户 。 

当 二 层 设 备 没有 运行 IGMP Snooping 时 ， 组 播 数 据 在 二 层 被 广播 《因为 二 层 交 换 机 无 法 识别 组 播 卫 地 
址 ) ， 包 括 非 组 播 成 员 都 会 收 到 该 组 播报 文 ， 而 当 二 层 设备 运行 了 IGMP Snooping 后 ， 已 知 组 播 组 的 组 播 数 
据 不 会 在 二 层 广播 ， 而 是 会 被 组 播发 送 给 指定 的 接收 者 ， 没 有 加 入 对 应 组 播 组 的 用 户 不 会 收 到 组 播报 文 。 

























































































































































































大 | 
文 ! 
组 播 数 据 在 数据 链 路 层 按 需 转发 。 















































没有 运行 IGMP Snooping 时 
的 组 插 报 文 传递 过 程 
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为 使 能 IGMP Snooping 功 能 后 ， 二 层 设 备 会 侦 听 主机 和 上 游 三 层 设备 之 间 交 互 的 IGMP 报 文 ， 通 过 分 析 提 
拷 带 的 信息 〈 报 文 类 型 、 组 播 组 地 址 、 接 收报 文 的 接口 等 ) ， 建 立 和 维 











E 护 二 层 组 播 转发 表 ， 从 而 













运行 IGMP Snooping 时 
的 组 播报 文 传递 过 程 


Router 


Switch 


ReceiverB 


J 


图 12-37 二 层 设 备 运行 IGMP Snooping 前 后 组 播报 文 传递 对 比 



































































































1. 端口 角色 
在 二 层 组 播 IGMP Snooping 协 议 中 涉及 几 种 端口 角色 ， 下 面 以 图 12-38 为 例 进行 介绍 。 
Source 
SwitchA 与 sosse SwitchB 
全 Routerport 
HostA HostB HostC HostD ODO Memberport 
Receiver Receiver Receiver ---> Multicast Packet 
图 12-38 IGMP Snooping 相 关 端 口角 色 
IGMP Snooping 中 相关 端口 角色 如 表 12-8 所 示 。 
表 12-8 IGMP Snooping 中 的 端口 角色 

















民 


2 
目 于 





二 层 交 换 机 上 的 路 由 器 端口 和 成 员 端口 
相当 于 上 游 接口 ， 成 员 端 口 
而 手工 配置 的 端口 ， 对 应 的 为 静态 表 项 。 





由 器 端口 


路 由 器 端口 (Router Port): 指 
二 层 设备 上 连接 组 播 路 由 器 
的 接口 ， 而 不 是 指 路 由 器 上 的 
接口 。 


表示 的 接口 


如 图 中 SwitchA 和 
SwitchB 上 用 圆圈 表示 的 接口 


成 员 端 口 (Member Port)， 如 
SwitchA 和 SwitchB 上 用 方 框 


二 层 设备 从 此 接口 接收 组 播 数据 报 文 。 由 协议 生成 的 路 由 器 端口 叫 
做 动态 路 由 器 端口 。 收 到 源 地 址 不 为 0.0.0.0 的 IGMP 普遍 组 查询 报 
文 或 PIM Hello 报 文 〈 三 层 组 播 设 备 PIM 接口 向 外 发 送 的 用 于 发 现 
并 维持 邻居 关系 的 报 文 ) 的 接口 都 将 被 视 为 动态 路 由 器 端口 。 手 工 
配置 的 路 由 器 端口 叫做 静态 路 由 端口 。 

又 称 组 播 组 成 员 端 口 ， 二 层 设备 往 此 接口 发 送 组 播 数据 报 文 。 

由 协议 生成 的 成 员 端 口 叫 做 动态 成 员 端口 。 收 到 IGMP Report 报 文 
的 接口 ， 二 层 设备 会 将 其 标识 为 动态 成 员 端口 。 由 手工 配置 的 成 员 
端口 叫做 表态 成 员 端口 

















外 ， 每 条 二 层 组 播 转发 表 项 还 包括 组 播 组 地 址 和 VLAN 编 号 。 组 

















是 二 层 组 播 转发 表 项 中 的 一 个 重要 信息 ， 代 表 出 接口 。 其 中 路 
相当 于 下 游 接 口 。 通 过 协议 报 文学 习 到 的 端口 ， 对 应 的 为 动态 表 项 ; 


| 播 组 地 址 ， 可 以 为 组 播 IP 地 


址 ， 也 可 以 为 组 播 卫 地 址 映射 后 的 组 播 MAC 地 址 。 按 照 耳 地址 转发 的 模式 可 以 避免 MAC 地 址 转发 模式 中 的 





除了 出 接口 
地 址 重复 问题 。 
VLAN 编 号 指定 了 二 层 广播 域 范 























围 。 如 果 使 用 了 组 播 VYLAN 功 能 ， 入 VLAN 编 号 为 组 播 YLAN 的 编号 ， 


出 VLAN 编 号 为 主机 所 在 的 用 户 VLAN 编 号 。 否 则 入 VLAN 编 号 和 出 VLAN 编 号 均 为 主机 所 在 VLAN 的 编 








号 。 有 关 组 播 YLAN 将 在 本 章 后 


2. 工作 机 制 




















而 详细 介绍 。 











在 二 层 设 备 运行 了 IGMP Snooping 后 ， 收 到 不 同 的 IGMP 协 议 报 文 会 进行 不 同 的 处 


立 起 二 层 组 播 转发 表 项 ， 


此 外 ， 当 二 层 设备 收 到 PIM Hello 报 文 时 ， 会 向 VLAN 内 除 接收 接 


接口 做 如 下 处 理 。 























1L 体 如 表 12-9 所 示 。 





表 12-9 IGMP Snooping 对 不 同 报 文 的 处 理 方式 


普遍 组 查询 ，IGMP 查询 
器 定期 向 本 地 网 段 内 的 
所 有 主机 与 路 由 器 (目的 
IP 地 址 为 224.0.0.1) 发 送 
IGMP 普遍 组 查询 报 文 ， 
以 查询 该 网 段 有 哪些 组 
播 组 的 成 员 


此 时 收 到 的 是 1IGMP 普遍 组 查询 报 文 。 二 层 设备 会 向 VLAN 内 除 接收 接 

口外 的 其 他 所 有 接口 转发 ， 并 对 接收 接口 做 如 下 处 理 。 

。 如 果 路 由 器 端口 列表 中 已 包含 该 动态 路 由 器 端口 , 则 重 置 老化 定时 器 。 
收 到 IGMP 普 迪 组 查询 报 文 时 ， 动 态 路 由 器 端口 的 老化 定时 器 缺 省 为 
180s， 可 以 通过 命令 行 配置 

。 如 果 路 由 器 端口 列表 中 尚未 包含 该 接口 ， 则 将 其 添加 进去 ， 并 启动 老 
化 定时 器 





成 员 关 系 报告 : 成 员 收 到 
IGMP 普遍 组 查询 报 文 
后 ， 回 应 1GMP Report 报 
文 ; 成 员 主动 向 IGMP 查 
询 器 发 送 IGMP Report 报 
文 以 声明 加 入 该 组 播 组 


成 员 离 开 组 播 组 : 运行 
IGMPv2 或 IGMPv3 的 成 
员 发 送 IGMP Leave 报 文 ， 
以 通知 组 播 路 由 器 自己 
离开 了 某 个 组 播 组 ; 

IGMP 查询 器 收 到 IGMP 
Leave 报 文 后 ， 从 中 解析 
出 组 播 组 地 址 ， 并 通过 接 
收 接口 向 该 组 播 组 发 送 
IGMP 特定 组 查询 报 文 / 
IGMP 特定 源 组 查询 报 文 


此 时 收 到 的 是 IGMP Report 报 文 。 二 层 设备 会 向 VLAN 内 所 有 路 由 器 端口 转 
发 。 从 报 文中 解析 出 主机 要 加 入 的 组 播 组 地 址 ， 并 对 接收 接口 做 如 下 处 理 。 

。 如 果 不 存在 该 组 对 应 的 转发 表 项 ， 则 创建 转发 表 项 ， 将 该 接口 作为 动 
态 成 员 端 口 添加 到 出 接口 列表 中 ， 并 启动 老化 定时 器 

。 如 果 已 存在 该 组 对 应 的 转发 表 项 ， 但 出 接口 列表 中 未 包含 该 接口 ， 则 
将 该 接口 作为 动态 成 员 端 口 添加 到 出 接口 列表 ， 并 启动 老化 定时 器 

。 如 果 已 存在 该 组 所 对 应 的 转发 表 项 ， 且 出 接口 列表 中 已 包含 该 动态 成 
员 端 口 ， 则 重 置 其 老化 定时 器 

如 果 收 到 的 是 IGMP Leave 报 文 ， 则 二 层 设 备 会 判断 离开 的 组 是 否 存 在 
对 应 的 转发 表 项 ， 以 及 转发 表 项 出 接口 列表 是 否 包 含 报 文 的 接收 接口 。 

e 加 果 不 存在 该 组 对 应 的 转发 表 项 , 或 者 该 组 对 应 转发 表 项 的 出 接口 
列表 中 不 包含 接收 接口 ， 二 层 设 备 不 转发 该 报 文 ， 将 其 直接 丢弃 

。 如 果 存 在 该 组 对 应 的 转发 表 项 ， 且 转发 表 项 的 出 接口 列表 中 包含 该 
接口 ， 二 层 设备 会 将 报 文 向 VLAN 内 所 有 路 由 器 端口 转发 

对 于 IGMP Leave 报 文 的 接收 接口 (假定 为 动态 成 员 端口 )， 二 层 设 备 
在 其 老化 时 间 内 按 如 下 规则 处 理 。 

e 如 果 从 该 接口 收 到 了 主机 响应 该 特定 组 查询 的 IGMP Report 报 文 ， 表 
示 接 口 下 还 有 该 组 的 成 员 ， 于 是 重 置 其 老化 定时 器 

。 如 果 没 有 从 该 接口 收 到 主机 响应 特定 组 查询 的 IGMP Report 报 文 ， 则 
表示 接口 下 已 没有 该 组 成 员 ， 则 在 老化 时 间 超 时 后 ， 将 接口 从 该 组 的 
转发 表 项 出 接口 列表 中 删除 

















如 果 收 到 的 是 IGMP 特定 组 查询 报 文 /IGMP 特定 源 组 查询 报 文 ， 则 二 层 
设备 会 向 VLAN 内 除 接收 接口 外 的 其 他 所 有 接口 转发 



































tt 





mi 


口外 的 其 他 所 有 接口 转发 ， 并 对 接收 




















(1) 如 果 路 由 器 端口 列表 中 已 包含 该 动态 路 由 器 端 












































， 则 重 置 老化 定时 器 。 





(2) 如 果 路 由 器 端口 列表 中 尚未 包含 该 接口 ， 则 将 其 添加 进去 ， 并 启动 老化 定时 器 。 
收 到 PIM Hello 报 文 时 ， 动 态 路 由 器 端口 的 老化 时 间 为 Hello 报 文中 Holdtime 字 段 的 值 。 
























































向 静态 路 由 器 端口 转发 。 如 











如 果 是 静态 配置 路 由 器 端口 ， 二 层 设 备 收 到 IGMP Report 和 Leave 报 文 也 会 
果 配 置 了 静态 成 员 端 口 ， 则 转发 表 项 中 会 添加 该 接口 为 出 接口 。 


























当 二 层 设 备 上 建立 了 二 层 组 播 转发 表 以 后 ， 在 接收 到 组 播 数据 报 文 时 会 依据 报 文 所 属 VLAN 和 报 文 的 目 














的 地 址 ( 即 组 播 组 地 址 〉 查 找 转 发 表 项 是 


























否 存在 对 应 的 “ 








12.5.3 IGMP Snooping Proxy/MLD Snooping Proxy 基 本 原理 


如 果 存 在 ， 则 将 报 文 发 送 到 所 有 组 





接口 信息 ”。 





播 组 成 员 端 口 ， 如 果 不 存在 ， 则 丢弃 该 报 文 或 将 报 文 在 VLAN 内 广播 。 























为 了 减少 上 游 三 层 设 备 收 到 的 IGMP ReporVMLD Report 报 文 和 IGMP Leave/MLD Done 报 文 的 数量 ， 可 
以 在 二 层 设 备 上 部 署 IGMP Snooping Proxy/MLD Snooping Proxy 功 能 ， 使 其 能 够 代理 下 游 主 机 来 向 上 游 设 备 





发 送 成 员 关 系 报告 报 文 。 配 置 了 IGMP Snooping Proxy/MLD Snooping Proxy 功 能 的 设备 利 
它 就 相当 于 一 




















Snooping/MLD Snooping 人 代理， 在 其 上 游 设 备 看 来 ， 














尔 为 IGMP 
台 主机 ;在 其 下 游 设 备 看 来 ， 它 相当 于 一 











台 查 询 器 。 


IGMP Snooping Proxy 用 于 IPv4 组 播 网 络 ，MLD Snooping Proxy 
下 文 仅 以 IGMP Snooping Proxy 为 例 描述 工作 原理 。 








协议 报 文 名 称 不 同 ， 二 者 实现 原理 相同 。 
1. 在 组 播报 文 传递 上 的 改变 














于 IPv6 组 播 网 络 。 除 了 使 用 的 地 址 和 
































如 图 12-39 所 示 ， 当 Switch 上 运行 IGMP Snooping 时 ，Switch 对 上 游 Router 的 Query 报 文 和 下 游 主 机 的 

















ReportVLeave 报 文 都 是 原封 不 动 地 转发 。 当 网 络 中 存在 大 量 用 户主 机 时 ， 元 余 的 IGMP 报 文 给 上 游 设 备 带 来 

















处 理 压 力 。 








没有 运行 IMGP Snooping ' 
Proxy 时 的 组 播报 文 传递 流程 


Source 






Router 
»” IGMP 
Querier 








HostA | 
Receiver 

HostB 
一 一 > Report/Leave from Host 
---- Query from Router 


tC ， 
Receiver! 




















图 12-39 IGMP Snooping Proxy 运 行 前 


运行 IGMP Snooping Proxy 时 
的 组 播报 文 传递 流程 


Source 







Router 


IGMP 
Querier 
IGMP Snoopin 
Proxy S Switch 





HostC 
Receiver 


HostA 
Receiver 


| 


HostB 
一 一 > Report/Leave from Switch 
----> Query from Switch 


后 的 组 播报 文 传递 流程 














当 Switch 上 配置 IGMP Snooping Proxy 时 ，Switch 可 以 终结 上 游 的 IGMP Query 报 文 ， 并 且 自 己 构 造 





终结 


一 二 品 


Query 报 文 向 下 游 主机 发 送 ; 
向 上 游 发 送 。 




















游 主机 的 IGMP Report/Leave 报 文 ， 并 自己 构造 统一 的 Report/Leave 报 文 


















































部 署 IGMP Snooping Proxy 后 ， 三 层 设备 会 感知 到 下 面 只 有 一 个 用 户 ， 二 层 设 备 直接 跟 下 游 用 户 和 三 层 
设备 进行 对 话 ， 而 不 再 是 一 个 完全 透明 的 转发 角色 。IGMP Snooping Proxy 可 有 效 减 少 





的 交互 程度 ， 节 约 带宽 
游 三 层 设备 的 性 能 负荷 














2. 工作 机 制 


运行 IGMP Snooping Proxy 的 设备 会 参与 二 层 组 播 转发 表 的 建立 和 维护 ， 依 和 





; 有 效 屏蔽 来 自 下 游 主机 的 大 量 协议 报 文 ， 朝 












































机 发 送 组 播 数据 。 代 理 设备 对 各 种 IGMP 报 文 的 处 理 方式 如 表 12-10 所 示 。 








表 12-10 IGMP Snooping Proxy 对 接收 到 的 IGMP 报 文 的 处 理 方式 





IGMP 报 文 类 型 处 理 方式 


IGMP 协 议 在 网 络 中 











接管 了 对 主机 的 查询 器 功能 ， 分 担 上 








转发 表 向 有 需要 的 用 户主 














IGMP 普遍 组 查询 报 文 


员 关 系 生 成 Report 报 文 ， 向 所 有 路 由 器 端口 发 送 


向 本 VLAN 内 除 接收 接口 以 外 的 所 有 接口 转发 ， 同 时 根据 本 地 维护 的 组 成 





IGMP 特定 组 查询 报 文 / 
IGMP 特定 源 组 查询 报 文 | Report 报 文 


若 该 组 对 应 的 转发 表 项 中 还 有 成 员 端 口 ， 则 向 所 有 路 由 器 端口 回复 该 组 的 





IGMP Report 报 文 


由 器 端口 发 送 该 组 的 Report 报 文 














员 端 口 ， 则 重 置 其 老化 定时 器 

(3) 如 果 已 存在 该 组 对 应 的 转发 表 项 ， 但 其 出 接口 列表 中 不 包含 该 接 
接口 ， 则 将 该 接口 作为 动态 成 员 端 口 添加 到 出 接口 列表 中 ， 并 启动 其 
化 定时 器 


(1) 如 果 不 存在 该 组 对 应 的 转发 表 项 ， 则 创建 转发 表 项 ， 将 接收 接口 作为 
动态 成 员 端口 添加 到 出 接口 列表 中 ， 并 启动 其 老化 定时 器 ， 然 后 向 所 有 路 


(2) 如 果 已 存在 该 组 对 应 的 转发 表 项 ， 且 其 出 接口 列表 中 已 包含 该 动态 成 


收 
老 





向 接收 接口 发 送 针 对 该 组 的 特定 组 查询 报 文 。 只 有 当 删 除 某 组 播 组 对 


IGMP Leave 报 文 转发 表 项 中 的 最 后 一 个 成 员 端口 时 ， 才 会 向 所 有 路 由 器 端口 发 送 该 组 


12.5.4 二 层 组 播 SSM Mappin 

















源 ， 具 有 更 好 的 安全 性 。 
或 MLDv2 版 本 协议 支持 SSM， 如 果 用 
型 。 这 时 ， 为 了 使 其 能 够 使 用 SSM 服 务 ， 则 需要 借助 SSM Mapping 功 能 。 




















通过 前 面 的 学 习 已 知 ，SSM (指定 源 组 播 ) 与 ASM (人 








Leave 报 文 



































同样 ， 在 二 层 组 播 








静态 配置 SSM 地 址 的 映射 规则 ， 

































































应 


的 


Ef 意 源 组 播 ) 技术 相 比 就 是 SSM 可 以 指定 组 播 
但 从 本 章 前 面 12.2 节 的 介绍 可 知 ， 在 三 层 IGMP 和 MLD 组 播 协议 中 ， 只 有 IGMPv3 
户主 机 只 能 运行 IGMPvLIGMPv2 或 MLDv1， 则 不 能 直接 使 用 SSM 模 





中 也 可 通过 SSM Mapping 实 现 对 SSM 服 务 的 支持 ， 但 是 目前 只 实现 了 IPv4 组 播 网 络 
中 的 二 层 SSM Mapping， 即 基于 IGMP Snooping 的 SSM Mapping。 通过 在 IGMP Snooping 协 议 的 二 层 设备 上 











可 ] 











G) 信息 ， 以 提供 SSM 组 播 服务 。S 表示 组 播 源 ，G 表示 组 播 组 ，* 表 示 任 意 组 播 源 。4 


将 IGMPv1 和 IGMPv2 Report 报 文中 的 (*，G) 信息 转化 为 对 应 的 《〈S， 


决 省 情况 下 ，SSM 组 





播 组 IP 地 址 范围 为 232.0.0.0~232.255.255.255。 




















如 图 12-40 所 示 ，3 个 接收 者 (Recevier) 运行 不 同 的 IGMP 版 本 ， 且 HostB 和 HostC 无 法 升级 到 IGMPv3。 


如 果 要 为 该 网 段 





的 所 
































了 主机 提供 SSM 服 务 ， 则 必须 在 二 层 设 备 Switch 上 使 用 二 层 组 播 SSM Mapping 功 能 。 










Switch 平 、 
Cs 






IGMPVv2 Report 
for 232.1.2.2 


a HostB (IGMPv2) 


Receiver 


uoc (IGMPv1) 


Receiver 


图 12-40 二 层 组 播 SSM Mapping 应 用 示例 























这 时 ， 如 果 在 Switch 上 配置 了 如 下 组 播 组 地 址 和 组 播 源 地 址 映射 关系 。 





(1) 232.1.1.0/24 一 10.10.1.1 
(2) 232.1.2.0/24 一 10.10.2.2 
(3) 232.1.3.0/24 一 10.10.3.3 








经 过 映射 后 ，Switch 在 收 到 HostB 和 HostC 的 成 员 报 告 报 文 时 ， 首 先 判断 报 文 携带 的 组 地 址 是 否 在 SSM 
范围 内 ， 经 过 映射 后 则 肯定 在 SSM 范 围 内 ， 此 时 就 可 以 根据 配置 的 映射 规则 生成 如 下 所 示 的 组 播 表 项 。 












































(1) 232.1.1.1 (来 自 HostC): 
(2) 232.1.2.2 (来 自 HostB): 











〈10.10.1.1，232.1.1.1) 
(10.10.2.2，232.1.2.2) 






































如 果 Report 报 文 携带 的 组 地 址 在 SSM 范围 内 ， 但 是 Switch 上 没有 对 应 的 SSM Mapping 规 则 ， 则 无 法 
提供 SSM 服 务 ， 丢 弃 该 报 文 。 如 果 Report 报 文 携带 的 组 地 址 不 在 SSM 范 围 内 ， 则 只 提供 ASM 服 务 。 











12.5.5 组 播 VLAN 
























































在 12.5.1 节 介绍 的 IGMP Snooping/MLD Snooping 二 层 组 播 侦 听 功 能 很 好 地 弥补 了 组 播 数 据 在 二 层 广播 


























网 络 只 能 进行 广播 的 不 足 。 但 是 这 种 功能 仍 是 基于 一 个 广播 域 ， 即 基于 VLAN 来 实现 的 。 如 果 不 同 VLAN 











的 用 户 有 相同 的 组 播 数 据 需 求 时 ， 上 游 路 




















器 仍然 需要 发 送 多 份 相同 报 文 到 不 同 VLAN 中 。 这 时 就 得 使 用 





组 播 VLAN 功能 了 。 它 实现 了 组 播 路 

















制 ， 大 大 减轻 了 组 播 路 由 器 和 网 络 的 负担 。 
1. 组 播 YLAN 基 本 原理 
































如 图 12-41 所 示 ， 属 于 不 同 VLAN (VLAN2 和 VLAN3) 的 
RonuterA 就 会 把 组 播 数 据 在 每 个 YLAN 内 都 复 




















与 二 层 设 备 之 间 带 宽 的 浪费 ， 也 增加 了 路 


























器 额外 的 负担 。 


器 只 需 发 送 一 份 数据 就 可 在 二 层 网 络 设备 上 进行 跨 VLAN 组 播 复 

















j 户 需要 接收 相同 的 组 播 流 ， 
由 一 份 然后 发 送 给 下 游 交 换 机 SwitchA。 这 样 ， 既 造成 了 路 由 器 














上 游 路 由 器 







































; 一 一 > Multicast packets 





一 一 一 > Multicast packets : : | 0VLAN2 
VVvLAN? : : : a VLAN;3 
DVLAN3 dn Rd Ue a 





图 12-41 配置 组 播 VYLAN 功 能 前 后 的 组 播报 文 传递 对 比 








通过 在 二 层 设 备 上 配置 组 播 VLAN 功能 就 可 以 解决 这 个 问题 。 如 在 图 中 的 Switch 上 部 署 了 组 播 YLAN 
功能 后 ， 上 游 路 由 器 不 必 在 每 个 用 户 VLAN (VLAN2 和 VLAN3) 内 都 复制 一 份 组 播 流 ， 而 组 播 路 由 器 只 需 
向 组 播 YLAN (VLAN4) 内 复制 一 份 数据 发 送 给 二 层 设 备 。 这 样 就 避免 了 组 播 流 在 上 游 设 备 的 重复 复制 ， 
不 仅 节省 了 网 络 带 宽 ， 而 且 减 轻 了 上 游 路 由 器 的 负担 。 
在 这 里 涉及 两 种 VLAN: 组 播 YLAN 和 用 户 VLAN。 “组 播 YLAN” 是 网 络 侧 接口 〈 也 就 是 连接 组 播 路 由 
器 的 接口 ) 所 属 VLAN， 用 于 实现 组 播 流 的 汇聚 ;“ 用 户 VLAN” 是 用 户 侧 接口 〈 也 就 是 连接 组 播 接收 者 的 接 
口 ) 所 属 VLAN， 用 于 接收 组 播 YLAN 复 制 、 发 送 的 组 播 数据 副本 。 一 个 组 播 VLAN 可 以 绑 定 多 个 用 户 
VLAN， 但 一 个 用 户 VLAN 只 能 加 入 一 个 组 播 VLAN 。 

2. 组 播 VLAN 的 扩展 

通常 情况 下 ， 组 播 YLAN 的 应 用 场景 是 通过 组 播 YLAN 将 相同 的 组 播 数据 复制 分 发 到 不 同 的 用 户 VLAN 
中 来 节省 网 络 带宽 。 但 是 ， 有 时 候 也 会 存在 单个 用 户 VLAN 需 要 接收 多 个 组 播 YLAN 的 组 播 数据 的 场景 。 为 
此 ， 组 播 YLAN 进 行 了 如 下 的 扩展 。 

(1) 组 播 VYLAN 多 对 多 

“组 播 VYLAN 多 对 多 ”是 对 传统 的 “组 播 YLAN 一 对 多 ”( 即 多 个 用 户 VLAN 可 以 加 入 一 个 组 播 YLAN， 但 
是 一 个 用 户 VLAN 不 能 加 入 多 个 组 播 YLAN) 的 补充 。 如 图 12-42 所 示 ， 用 户 VLAN (UVLAN) 需要 接收 
来 自 两 个 组 播 YLAN (MVLAN1、MVLAN2) 的 组 播 数据 。 通 过 组 播 VLAN 多 对 多 功能 实现 一 个 用 户 同时 
接收 两 个 组 播 VLAN 数据 的 过 程 如 下 。 
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Sourcel Source2 


RouterA 


， a : UVLAN: 

一 > Multicast packets from Source 1 
----» Multicast packets from Source 2 : : 
CE 0MVLANI : : 
GD MVLAN2 : : 














中 在 
思 在 








(2) 基于 接口 的 强 


在 引 





用 户 VLAN 上 使 能 静态 组 
组 播 VLAN 





图 12-42 组 播 YLAN 多 对 多 示例 


播 流 触发 功能 。 


















































提供 的 组 播 业务 的 用 户 能 够 接收 到 其 他 ISP 提 人 





于 








为 ] 
组 播 VLAN,， 
样 ，ISP 对 应 


向 下 游 转发 未 续 


如 图 
ISP1 提供 

















保证 相 | 


司 用 户 VLAN 中 





上 分 别 配置 Sourcel1、Source2 的 静态 组 播 流 。 
@@ 用 户 VLAN 分 别 加 入 两 个 组 
从 上 述 过 程 可 以 看 出 ， 组 播 VLAN 多 对 多 主要 是 依 








播 VLAN。 








= = 
于 


寺 E 








静态 组 播 流 触发 机 制 + 组 播 YLAN 一 对 多 功能 共 





可 


日 播 VLAN 
日 播 VYLAN 中 还 会 出 现 这 样 一 种 场景 : 
用 户 定制 了 不 同 的 ISP 月 





网 络 中 的 组 播 业 务 批发 给 了 多 个 ISP， 单 个 用 户 VLAN 中 不 同 


这 时 候 如 果 再 使 用 组 播 YLAN 多 对 多 功能 ， 就 会 造成 只 定制 某 ISP 
的 组 播 业 务 。 


之 间 的 组 播 业 务 隔离 ， 可 通过 为 不 同 的 ISP 分 配 一 个 VLAN 作 为 








提供 的 组 播 业 务 。 
























































的 不 同 用 户 

















然后 
的 组 
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12.6 组 播 吕 


本 节 介 绍 的 “组 播 路 








方面 。 通 过 组 

















基于 接口 
播 VYLAN 就 与 { 
bh 定 的 组 播 VLAN 
12-43 所 示 ， 组 播 业务 批发 给 了 ISP1、ISP2 两 个 
的 组 播 服务 ， 而 Host3 逢 
发 送 到 所 有 的 用 
Host2 的 接 入 接口 




















播 
j 户 VLAN 进 行 绑 定 来 实现 ， 这 就 是 基于 接口 的 组 播 YLAN。 这 
户 接 入 接口 、 用 户 VYLAN} 形 成 了 一 一 映射 的 关系 ， 用 户 接 入 接口 就 不 会 
的 数据 。 但 只 有 IGMP Snooping 支 持 基 于 接口 的 组 播 VLAN。 
服务 jj 户 VLAN 中 的 Host1 和 Host2 定制 的 是 
HHost4 定 制 的 是 ISP2 提 供 的 组 播 服 务 。 为 了 使 两 个 ISP 提 供 的 组 播 数 据 不 会 





将 组 播 YLAN 与 



















































































人 向， 






































户主 机 上 ， 向 ISP1、ISP2 分 别 分 配 一 个 组 播 VLAN (MVLAN1、MVLAN2) ， 将 Hos1 和 
与 MVLAN1 绑 定 ， 将 Host3 和 Host4 的 接 入 接口 
只 向 HostLt 和 Host2 发 送 ，ISP2 提 供 的 组 播 数据 只 向 Host3 和 Host4 发 送 。 








与 MVLAN2 绑 定 。 这 样 ，ISP1 提 供 的 组 播 数 

















一 一 > Multicast packets from ISP1 
; ----»> Multicast packets from ISP2 
: GE 0MVLANI 
: ED MVLAN2 








图 12-43 基于 接口 的 组 播 YLAN 示 例 























管理 ”主要 包括 组 播 路 由 和 转发 、RPF 检 查 、 组 播 静态 路 





























播 路 由 可 以 











MBGP 路 由 、 组 播 静态 路 


12.6.1 组 播 路 





由 和 转发 


























控制 组 播报 文 的 转发 ， 通 过 RPF 可 以 组 播 转发 路 径 的 检测 和 维护 ， 



































1 可 实现 RPF 检 查 ， 通 过 组 播 负载 分 担 可 实现 不 同 转发 路 径 下 的 流 












































“组 播 路 由 和 转发 ”与 “ 单 播 路 由 和 转发 ”类似 ， 首 先 ， 每 个 组 播 路 由 协议 (典型 代表 为 PIM 和 MBGP)〉 都 
各 自 建立 并 维护 了 一 张 协议 路 由 表 〈 称 之 为 “组 播 协议 路 由 表 ”， 这 是 组 播 路 由 的 基础 路 由 信息 ) 。 这 就 相 
当 于 单 播 路 由 中 的 各 单 播 路 由 协议 路 由 表 ， 如 RIP 路 由 表 、OSPEF 路 由 表 、BGP 路 由 表 等 。 其 次 ， 各 “组 播 协 
议 路 由 表 ” 的 组 播 路 由 信息 经 过 综合 又 形成 一 个 总 的 “组 播 路 由 表 ”(Multicast Routing-Table) ， 就 相当 于 各 
单 播 路 由 协议 的 路 由 表 最 终 形成 了 统一 的 卫 路 由 表 。 最 后 ， 组 播 路 由 器 再 根据 “组 播 路 由 和 转发 策略， 从 组 
播 路 由 表 中 选 出 最 优 的 组 播 路 由 下 发 到 “组 播 转发 表 ”(IMulticast Forwarding-Table， 相 当 于 单 播 路 由 中 的 三 
层 转发 表 〉 中， 直接 用 于 控制 组 播 数据 的 转发 。 通 过 “组 播 转 发 表 ” 整 个 网 络 建立 了 一 条 以 组 播 源 为 根 ， 组 
成 员 为 叶子 的 一 点 到 多 点 的 组 播 转发 路 径 。 

从 以 上 的 分 析 可 以 看 出 ， 在 整个 组 播 路 由 中 至 少 包 括 以 下 三 张 “ 表 ”: 组 播 协议 路 由 表 、 组 播 路 由 表 、 
组 播 转 发 表 。 另 外 在 二 层 组 播 中 ， 运 行 IGMP/MLD 协 议 的 路 由 器 上 还 要 维护 两 张 < 表 ”， 即 “IGMP/MLD 组 
项 ”和 “JIGMP/MLD 路 由 项 *”。 下 面 以 IPv4 网 络 为 例 ， 介 绍 各 “ 表 ” 信 息 在 实现 组 播 路 由 和 转发 中 所 起 的 作用 。 

1. IGMP 组 和 路 由 表 

“IGMP 组 和 路 由 表 ” 包 括 “IGMP 组 表 ” 和 “IGMP 路 由 表 ?” 两 部 分 。IGMP 组 表 是 由 用 户主 机 发 送 的 IGMP 加 
入 报 文 触发 创建 的 ， 用 于 维护 组 成 员 加 入 信息 并 通知 组 播 路 由 协议 创建 相应 的 (*，G) 表 项 。 只 要 设备 接 
口 使 能 了 IGMP 协 议 ， 并 收 到 组 成 员 加 入 报告 报 文 就 会 为 每 个 接口 维护 一 个 组 加 入 信息 表 项 。IGMP 组 表 项 
可 以 通过 display igmp group 命 令 查看 ， 有 具体 形式 如 下 所 示 。IGMP 组 表 项 中 主要 字段 说 明 如 表 12-11 所 示 。 

<HUAWEI>display igmp group 
























































































































































































































































































































































































































































Interface group report information of VPN-Instance: public net 
GigabitEthernet1/0/0 (10.1.6.2): 
Total 1 IGMP Group reported 
Group Address Last Reporter Uptime Expires 
225.1:1 沁 10.1.6.10 00:02:04 00:01:17 














表 12-11 IGMP 组 表 项 主要 字段 说 明 


说 明 
Group Address | 显示 对 应 运行 了 IGMP 协议 的 路 由 器 接口 所 加 入 的 组 播 组 IP 地 址 
Last Reporter | 显示 最 后 一 次 从 该 接口 上 发 送 组 成 员 加 入 报告 报 文 的 用 户 IP 地 址 
Uptime 显示 最 近 一 次 从 该 接口 收 到 组 播报 文 至 今 的 时 间 
Expires 显示 对 应 组 表 项 将 被 老化 的 时 间 ， 即 该 组 表 项 在 多 长 时 间 后 将 从 IGMP 组 表 中 清除 


从 上 表 可 以 看 出 ，IGMP 组 表 项 是 由 “组 播 组 卫 地 址 “最 近 一 次 从 接口 上 发 送 组 成 员 加 入 报 文 的 组 成 
员 IP 地 址 ” “最近 一 次 更 新 至 今 的 时 间 ” 和 *“ 表 项 即将 过 期 的 时 间 ?4 大 部 分 组 成 。 主 要 是 前 面 两 部 分 ， 通 过 
这 个 表 项 的 信息 ， 就 可 以 通过 上 层 的 组 播 路 由 协议 为 对 应 的 组 成 员 创建 对 应 的 组 表 项 。 

“IGMP 路 由 表 项 ?也 是 由 IGMP 协 议 维护 的 ， 但 它 只 有 在 接口 没有 使 能 PIM 协 议 才 会 存在 。 它 的 作用 主 
要 是 用 来 扩展 组 播 路 由 表 项 的 出 接口 。IGMP 路 由 表 项 可 通过 display igmp routing-table 命 令 查 看 ， 有 具体 形式 
如 下 。IGMP 路 由 表 项 中 主要 字段 说 明 如 表 12-12 所 示 。 

<HUAWEI >display igmp routing-table 

























































































































































































Routing table of VPN-Instance: public net 
Total 1 entry 
00001. (*, 225.1.1.1) 
List of 1 downstream interface 
GigabitEthernet1/0/0 (20.20.20.1), 


Protocol: IGMP 





表 12-12 IGMP 路 由 表 项 主要 字段 说 明 


00001. (*，225.1.1.1) 

















表示 IGMP 路 由 表 中 的 第 00001 号 表 项 ，(*，225.1.1.1)， 表 示 为 ASM 模式 
的 路 由 表 项 ， 仅 指定 是 组 播 组 IP 地 址 





List of 1 downstream 
interface 


| 表示 以 上 IGM 路 由 表 项 中 的 下 济 接 口 列表 





Protocol: IGMP 





从 上 表 可 以 看 出 ，IGMP 路 由 表 项 主要 / 








可 以 从 这 些 出 接口 上 发 送 给 组 播 成 员 。 
2. 组 播 协议 路 由 表 






































“组 播 协议 路 由 表 ?” 是 组 播 路 由 器 在 运行 各 种 组 播 路 由 协议 〈 典 型 代表 就 是 PIM) 时 由 各 个 协议 自己 维 
护 的 表 项 ， 是 组 播 路 由 和 转发 的 基础 ， 也 是 对 应 组 播 路 由 协议 自己 进行 组 播 数据 路 由 的 依据 。 就 像 单 播 路 






























































表示 生成 以 上 下 游 接口 的 协议 类 型 ， 此 处 显示 为 IGMP， 表 明 当 前 接口 没有 
使 能 PIM 协议 。 如 果 使 能 了 PIM 协议 ， 则 以 PIM 协议 优先 ， 显 示 的 是 PIM 































































































VPN-Instance: public net 
Total 0 (*, G) entry; 1 (S, G) entry 
(172.168.0.12, 227.0.0.1) 

RP: 2.2.2.2 


Protocol: pim-sm, Flag: SPT LOC ACT 


UpTime: 02:54:43 


Upstream interface: GigabitEthernet1/0/0 


Upstream neighbor: NULL 
RPF prime neighbor: NULL 


Downstream interface(s) information: 


Total number of downstreams: 1 


1: GigabitEthernet2/0/0 

















Protocol: pim-sm, UpTime: 02:54:43, Expires: 00:02:47 


表 12-13 PIM 路 由 表 项 主要 字段 说 明 


j 途 就 是 指定 对 应 组 播 组 的 下 游 组 成 员 接口 列表 ， 以 便 组 播报 文 




















字段 


说 明 





(172.168.0.12，227.0.0.1) 


以 (S，G) 格式 显示 组 播 协议 路 由 表 项 





RP22.2.22 


显示 对 应 旨 


才 会 有 此 显示 信息 


播 协议 路 由 表 项 的 RP 地 址 ， 只 有 协议 类 型 为 PIM-SM 时 





Protocol: pim-sm 


显示 对 应 纪 


播 协议 路 由 表 项 运行 的 组 播 协 议 类 型 和 工作 模型 





UpTime: 02:54:43 


显示 对 应 纪 


播 协议 路 由 表 项 已 存在 的 时 间 





Flag: SPT LOC ACT 


显示 对 应 旨 


播 路 由 协议 表 项 的 标志 





Upstream interface: 
GigabitEthernet1/0/0 


显示 对 应 旨 


播 路 由 协议 表 项 的 上 游 接 





Upstream neighbor: NULL 


显示 对 应 纪 


播 路 由 协议 表 项 的 上 游 邻 居 。NULL 表示 不 存在 上 游 邻居 





RPF prime neighbor NULL 


显示 对 应 组 


播 路 由 协议 表 项 的 RPF 邻居 。NULL 表示 不 存在 RPF 邻居 





Downstream 
interface(s) information: 





显示 对 应 纪 


播 路 由 协议 表 项 的 下 游 接口 信息 





Expires: 00:02:47 








显示 对 应 纪 














播 路 由 协议 表 项 的 下 游 接口 老化 时 间 








中 的 RIP、OSPF 等 路 由 协议 在 同 路 由 协议 的 网 络 中 主要 还 是 采用 各 自 的 路 由 表 一 样 。PIM 路 由 表 项 可 通过 
display pim routing-table 命 令 查 看 ， 有 具体 形式 如 下 。PIM 路 由 表 项 中 主要 字段 说 明 如 表 12-13 所 示 。 
<HUAWEI>display pim routing-table 

















3. 组 播 路 由 表 
























































“组 播 路 由 表 ” 是 组 播 路 由 管 











里 模块 生成 的 路 由 表 ， 对 应 于 单 播 路 














路 由 协议 表 信息 而 形成 的 。 如 果 









































字段 说 明 如 表 12-14 所 示 。 


组 播 路 由 管 
成 的 优选 路 由 信息 。 但 目前 PIM DM 和 PIM SM 不 能 同时 运 
表 。 组 播 路 由 表 项 信息 可 通过 display multicast routing-table 命 令 查 看 ， 具 




















YH 

















<HUAWEI>display multicast routing-table 


Multicast routing table of VPN-Instance: public net 


Total 1 entry 
00001. (172.168.0.2, 227.0.0.1 
Uptime: 00:00:28 


) 


Upstream Interface: GigabitEthernet1/0/0 


List of 2 downstream interfaces 
1: GigabitEthernet2/0/0 
2: GigabitEthernet3/0/0 


同时 它 也 可 为 下 面 即 将 介绍 上 


a 


运 们 。 





























供 基本 信息 。 


























里 支持 多 种 组 播 协 议 ， 那 这 里 应 该 能 看 到 多 种 引 
组 播 路 由 表 的 主要 功能 就 是 创建 组 播 转发 
本 形式 如 下 。 组 播 路 由 表 项 中 主 


























从 上 表 可 以 看 出 ， 组 播 路 由 协议 表 项 中 包括 的 信息 比较 丰富 ， 其 中 主要 包括 组 播 组 (包括 组 播 源 IP 地 
址 和 组 播 组 了 了 地址 ) 、RP 地 址 、 上 游 接 口 、 上 游 邻 居 、RPF 邻 


路 由 协议 自己 的 组 播 转发 路 径 基本 信息 。 


居 和 下 游 接 口 。 这 些 信 息 就 构成 了 对 应 组 播 
的 组 播 路 由 表 提 


1 中 的 IP 路 由 表 ， 是 通过 综合 各 种 组 播 
日 播 路 由 协议 生 








了 


























表 12-14 组 播 路 由 表 项 主要 字段 说 明 
字段 说 明 
表示 第 00001 号 表 项 ， 此 表 项 是 (S，G) 形式 ， 是 属于 指定 源 的 
00001. (172.168.0.2，227.0.0.1) | 组 播 路 由 表 项 
| UpTime: 02:54:43 显示 组 播 路 由 表 项 最 近 一 次 更 新 至 今 的 时 间 





Upstream Interface: 
GigabitEther 





net1/0/0 


显示 对 应 组 播 路 由 表 项 的 上 游 接 口 























从 上 表 可 以 看 出 , “组 播 路 

















将 介绍 的 “组 播 转发 表 ”。 
4. 组 播 转发 表 











“组 播 转发 表 ” 是 路 由 管理 模块 依据 “组 播 路 由 表 ” 信 息 生 成 的 用 于 指导 组 播 数 据 实际 转发 
为 MFIB( 组 播 转发 信息 库 ) ， 这 张 表 项 与 单 播 中 FIB 表 的 ] 
发 表 通 过 display multicast forwarding-table 命 令 可 以 查看 ， 具 体形 式 如 下 


12-15 所 示 。 









































<HUAWEI>display multicast forwarding-table 


Multicast Forwarding Table o 

Total 1 entry, 1 matched 

00001. (172.168.0.2, 227.0.0. 
MID: 0, Flags: 0x0:0 


f VPN-Instance: public net 


1) 


Uptime: 00:08:32, Timeout in: 00:03:26 


Incoming interface: G 


igabitEthernet1/0/0 


List of 1 outgoing interfaces: 
1: GigabitEthernet2/0/0 



























































表 ”信息 比较 简单 ， 主 要 包括 组 播 组 和 上 游 接 口 。 它 主要 用 于 生成 下 面 





出 





耳 


女 


即 



































下 。 组 播 转发 表 项 ! 








的 表 项 ， 通 常 称 
羊 的 ， 用 于 指导 组 播 数据 转发 。 组 播 转 
主要 字段 说 明 
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如 于 


从 上 表 可 以 看 出 




















表 主 要 | 


Activetime: 00:23:15 
Matched 38264 packets(1071392 bytes), Wrong If 0 packets 
Forwarded 38264 packets(1071392 bytes) 


表 12-15 组 播 转发 表 项 主要 字段 说 明 





字段 


说 明 





00001.(172.168.0.2，227.0.0.1) 





表示 第 00001 号 表 项 ， 此 表 项 是 (S，G) 形式 





Flags: Ox0:0 


表示 对 应 组 播 转发 表 项 的 标志 





MID: 0 


速 检索 组 播 转发 表 





表示 对 应 组 播 转发 表 项 在 MFIB 表 中 的 唯一 标识 ， 用 于 快 





UpTime: 02:54:43 





显示 对 应 组 播 转发 表 


项 最 近 一 次 更 新 至 今 的 时 间 





Timeout in: 


显示 对 应 组 播 转发 表 项 所 


00:03:26 EE 
项 将 从 转发 表 中 清除 


超时 时 间 ， 即 还 有 多 长 时 间 该 表 





Incoming interface: GigabitEthernet1/0/0 


显示 对 应 组 播 转发 表 项 的 入 接口 








List of 1 outgoing interfaces: 


显示 对 应 组 播 转发 表 项 上 








的 出 接口 列表 





Activetime: 


00:23:15 显示 对 应 出 接口 已 存在 时 间 





Matched 38264 packets(1071392 bytes) 


显示 匹配 对 应 组 播 转发 表 项 的 报 文 数目 





Wrong If0 packets 


显示 对 应 组 播 转发 表 项 中 从 错误 接口 进入 的 报 文 数目 





Forwarded 38264 packets(1071392 bytes) 











显示 对 应 组 


播 转发 表 项 中 已 转发 的 报 文 数目 

















，“ 组 播 转发 表 ” 中 包括 的 信息 主要 用 于 控 和 
自己 的 路 由 表 中 的 一 些 基 本 信息 《如 组 播 组 、 入 接口 列表 、 上 














是 由 对 应 的 组 播 协议 路 由 表 来 完成 的 。 





12.6.2 RPF 检 查 








在 单 播 路 
位 置 ( 即 目的 + 
址 为 组 播 地 址 ， 

















由 与 转发 中 ， 单 播报 文 是 沿 着 一 条 点 到 点 的 路 径 传 输 的 ， 路 由 器 
也 址 ) ， 就 知道 应 该 从 哪个 接口 转发 出 去 
只 是 标识 了 一 组 接收 者 ， 并 不 是 一 个 可 








。 组 播 路 由 与 转发 则 不 同 ， 
以 唯一 确定 其 位 置 的 下 地 址 ， 所 以 无 法 通过 “目的 地 


出 组 播报 文 的 转发 ， 包 括 了 各 组 播 路 由 协议 
接口 列表 ) 和 报 文 转发 统计 信息 。 组 播 转发 
j 于 RPF 检 查 《〈 因 为 它 包 括 了 RPF 检 查 过 程 中 必须 要 检查 的 “入 接口 信息) ， 组 播报 文 的 路 由 最 终 仍 








只 需要 考虑 报 文 需要 到 达 的 
对 为 组 播报 文 的 目的 地 




















址 ”来 找到 接收 者 的 位 置 。 但 是 组 播报 文 的 来 源 位 置 〈《 即 源 地 址 ) 是 可 确定 的 ， 所 以 组 播报 文 的 转发 路 径 可 
根据 其 源 地 址 的 逆向 查找 来 确保 转发 路 径 的 正确 性 。 有 具体 过 程 如 下 。 


(1) 组 播 路 由 器 在 收 到 一 份 纪 


由 ， 碍 看 到 “和 








及 文 源 ” 的 路 由 表 项 的 











(2) 如 果 























致 ， 则 认为 该 组 播报 文 是 从 正确 的 接口 

















播报 文 后 ， 会 根据 报 文 的 源 地 址 通过 单 播 路 由 表 查 找到 达 “ 报 文 源 ” 的 路 








出 接口 是 否 与 收 到 该 组 播报 文 的 入 接 








(3) 如 果 不 一 致 ， 则 认为 该 组 播报 文 非法 ， 将 被 直接 丢弃 。 


以 上 这 个 过 程 也 就 是 我 们 本 节 要 介绍 的 “<RPF”( 逆 向 路 径 转 发 ) 检查 。 
具体 介绍 RPF 检 查 过 程 。 


被 称 为 RPF 接 


1. RPF 检 查 过 程 
在 RPF 检 查 的 过 程 中 除 依据 单 播 路 
MBGP 路 由 和 单 播 路 





组 播 静 态 路 由 、 

















口 。 下 面 再 























(1) 首先 ， 通 过 报 文 源 地 址 











各 选 出 一 条 最 优 路 由 。 单 播 路 由 、MBGP 路 由 的 出 接口 为 RPF 接 口 ， 下 一 跳 为 RPF 邻 
属于 手工 配置 的 组 播 路 由 ， 己 经 明确 指定 了 RPF 接 口 与 RPF 邻 居 。 





际 上 








(2) 根 提 

















表 外 ， 还 会 依据 MBGP 路 




























































































由 表 、 组 播 静 态 路 
的 优先 级 是 依次 降低 的 。 当 路 由 器 收 到 一 份 在 这 全 个 路 由 
在 对 应 路 由 表 项 的 组 播报 文 后 ， 按 照 以 下 原则 进行 具体 检查 。 


一 致 。 


到 达 ， 从 而 保证 了 整个 转发 路 径 的 正确 性 和 唯一 


伟 查 通过 后 的 “正确 的 接口 














I 表 。 且 缺 省 情况 下 ， 
表 中 均 存 




















(是 单 播 IP 地 址 ) 分 别 从 单 播 路 由 表 、MBGP 路 由 表 和 组 播 静态 路 由 表 中 

















以 下 原则 从 这 三 条 最 优 路 














中 选择 一 条 作为 RPF 路 
































对， 而 组 播 静 态 路 由 实 










































































































































































































































































































































































QD 如 果 配 置 了 按照 最 长 匹配 原则 (也 是 掩 码 最 长 ， 路 由 最 精确 〉 来 选择 路 由 ， 则 从 这 三 条 路 由 中 选 出 
最 长 逻 配 的 那 条 路 由 ， 如 果 这 三 条 路 由 的 掩 码 长 度 一 样 ， 则 选择 优先 级 最 高 的 那 条 路 由 ; 如 果 它 们 的 优先 
级 也 相同 ， 则 按照 组 播 静态 路 由 、MBGP 路 由 、 单 播 路 由 的 先后 顺序 进行 选择 。 

G@ 如 果 没 有 配置 按照 最 长 逻 配 原则 来 选择 路 由 ， 则 从 这 三 条 路 由 中 选 出 优先 级 最 高 的 那 条 路 由 ; 如果 
它们 的 优先 级 相同 ， 则 也 按照 组 播 静态 路 由 、MBGP 路 由 、 单 播 路 由 的 先后 顺序 进行 选择 。 

(3) 最 后 ， 路 由 器 会 将 报 文 的 入 接口 与 上 面 最 终 选择 的 RPF 路 由 的 RPF 接口 进行 比较 。 如 果 一 致 则 
RPF 检 查 通过 ， 表 明 该 报 文 来 源 路 径 正 确 ， 会 将 其 向 下 游 转发 ， 如 果 不 一 致 即 RPF 检 查 失败 ， 表 明 该 报 文 来 











源 路 径 错误 ， 就 将 3 
如 图 

























































































其 丢弃 。 


12-44 所 示 ， 来 自 组 播 源 152.10.2.2 的 组 播 流 从 S1 口 至 
152.10.0.0/16 网 络 的 接口 是 S0 (表示 可 以 转发 该 组 播 流 的 端 

































| 达 路 由 器 。 路 由 器 检查 IP 路 由 表 ， 发 现 连接 
为 SO0) ， 于 是 RPF 检 查 失 败 ， 达 到 S1 口 的 数 











































































































































































































































































































































































































































































































据 流 被 丢弃 。 
IP Routing Table 
Maulticast stream 
from source 
| 192.168.1024 | 5S! | 1521022 
图 12-44 RPF 检 查 失败 的 示例 
如 果 来 自 组 播 源 152.10.2.2 的 组 播 流 是 从 S0 口 达到 路 由 器 ， 则 在 检查 IP 路 由 表 时 发 现 入 接口 与 接收 该 组 
播 流 的 接口 S0 一 致 ，RPEF 检 查 成 功 ， 组 播 流 将 被 正确 地 转发 。 
2. RPF 检 查 在 组 播 数据 转发 中 的 应 用 
组 播 路 由 协议 通过 已 有 的 单 播 路 由 、MBGP 路 由 或 组 播 静态 路 由 信息 来 确定 上 、 下 游 邻居 设备 ， 创 建 
组 播 路 由 表 项 。 运 用 RPF 检 查 机 制 来 确保 组 播 数据 流 能 够 治 组 播 分 发 树 《〈 路 径 ) 正确 地 传输 ， 同 时 可 以 避 
免 转发 路 径 上 环 路 的 产生 。 
在 实际 组 播 数据 转发 过 程 中 ， 如 果 对 每 一 份 接收 到 的 组 播 数据 报 文 都 通过 单 播 路 由 表 进 行 RPF 检 查 会 给 
路 由 器 带 来 很 大 负担 。 因 此 ， 路 由 器 在 收 到 一 份 来 自 源 $ 发 往 组 G 的 组 播 数 据 报 文 之 后 ， 首 先 会 在 组 播 转发 
表 中 查找 有 无 相应 的 “S，G) 组 播 转发 表 项 。 
(1) 如 果 不 存 在 〈S，G) 转发 表 项 ， 则 对 该 报 文 执行 RPF 检查 ， 检 查 通过 后 将 检查 到 的 RPF 接 口 作 
为 入 接口 ， 创 建 组 播 路 由 表 项 ， 下 发 到 组 播 转发 表 中 ， 这 样 下 次 来 自 相同 组 播 组 的 报 文 可 以 不 再 进行 RPF 检 
查 。 
(2) 如 果 存 在 〈S，G) 转发 表 项 ， 且 接收 该 报 文 的 接口 与 对 应 的 组 播 转发 表 项 的 入 接口 一 致 ， 则 向 所 
有 的 出 接口 转发 该 报 文 。 
(3) 如 果 存 在 〈S，G) 转发 表 项 ， 但 是 接收 该 报 文 的 接口 与 对 应 的 组 播 转发 表 项 的 入 接口 不 一 致 ， 则 
对 此 报 文 进行 RPF 检 查 。 对 RPF 检 查 结果 的 处 理 方式 如 下 。 
QD 如 果 经 过 RPF 检 查 得 出 的 RPF 接 口 与 对 应 的 组 播 转发 表 项 的 入 接口 一 致 ， 则 说 明 在 组 播 转发 表 中 的 
(S，G) 表 项 是 正确 的 ， 但 报 文 的 来 源 路 答 有 错误 ， 将 其 丢弃。 
Q@ 若 RPF 检 查 选取 出 的 RPF 接 口 与 对 应 的 组 播 转发 表 项 的 入 接口 不 符 ， 则 说 明 在 组 播 转发 表 中 的 (5， 


G) 表 项 已 过 时 ， 于 是 把 对 应 的 组 播 转发 表 项 中 的 入 接口 更 





























新 为 RPF 接 

















。 然 后 根据 RPF 检 查 规则 进行 判 




















断 : 如 果 接 收 该 报 文 的 接口 正 是 其 RPF 接 口 ， 则 向 转发 表 项 的 所 有 出 接口 转发 该 报 文 ， 否 则 将 其 丢弃 。 








12.6.3 组 播 静态 路 由 


















































前 面 说 了 ， 组 播 静 态 路 由 是 RPF 检 查 的 重要 依据 之 一 。 根 据 不 同 的 应 用 场景 ， 组 播 静 态 路 由 有 如 下 两 种 
作用 。 但 组 播 静态 路 由 仅 在 配置 的 组 播 路 由 器 上 生效 ， 不 会 引入 或 广播 给 网 络 中 的 其 他 路 由 器 。 

1. 改变 RPF 路 由 
在 相同 拓扑 的 网 络 中 可 以 通过 配置 组 播 静 态 路 由 改变 RPF 路 由 ， 为 组 播 数 据 创 建 一 条 与 单 播 不 同 的 传输 




















二 | 



























































































































































在 如 图 12-45 所 示 的 网 络 中 ，RouterC 到 组 播 源 〈Source) 的 RPF 邻 居 为 RouterA， 从 Source 发 出 的 组 播 
报 文 会 沿 着 Source - RouterA -RouterC 的 路 径 传输 。 此 时 ， 如 果 在 RouterC 上 配置 组 播 静 态 路 由 ， 指 定 
RouterC 的 RPF 邻 居 为 RouterB 〈 也 就 相当 于 “下 一 跳 ") ， 则 从 Source 发 出 的 组 播报 文 的 传输 路 径 将 发 生 改 
变 ， 改 为 沿 Source ~ RouterA ~ RouterB ~ RouterC 的 路 径 传输 ， 区 别 于 原来 的 单 播 路 由 路 径 ， 可 以 实现 单 播 
和 组 播报 文 的 分 流 。 
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Mnulticast Routing Table on RouterC 
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图 12-45 配置 组 播 静 态 路 由 改变 RPF 路 由 示例 








2. 衔接 RPF 路 由 

当 某 组 播 网 络 中 的 单 播 路 由 被 阻 断 时 ， 组 播 数 据 流传 输 将 因为 没有 RPF 路 由 而 中 断 。 此 时 ， 可 以 通过 
配置 组 播 静 态 路 由 ， 生 成 新 的 RPF 路 由 ， 从 而 在 设备 上 创建 新 的 组 播 转发 表 项 来 指导 组 播 数 据 的 转发 。 

如 图 12-46 所 示 ，Domain1 和 Domain2 是 单 播 路 由 隔离 的 两 个 路 由 域 ( 如 RIP 和 OSPF〉， Domain2 中 的 
Receiver 无 法 接收 来 自 组 播 源 的 组 播 数 据 。 此 时 在 Domain2 中 的 RouterC、RouterD 上 分 别 配 置 组 播 静 态 路 
， 重 新 指定 其 RPF 邻 居 (RouterC 令 居 指 定 为 RouterB， RouterD 邻 居 指 定 为 RouterC ) ， 这 样 Receiver 就 能 
接收 组 播 源 的 数据 流 了 。 从 中 可 以 看 出 ， 通 过 配置 组 播 静态 路 由 可 以 绕 过 单 播 路 由 中 路 由 不 通 的 问题 ， 独 
立地 建立 组 播 传输 路 径 。 




































































































































































12.6.4 组 播 负 载 分 提 

















发 ， 以 达到 分 流 的 目 
需要 根据 负载 分 担 方式 来 决 
缺 省 情况 下 ， 组 播报 文 转发 过 程 中 如 果 人 存在 多 条 等 价 的 最 优 转发 路 径 ， 按 照 RPF 检 查 对 等 价 路 由 的 处 理 











Multicast Routing Table on RouterC 
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Multicast Routing Table On RouterD 
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“负载 分 担 ” 是 指 如 果 发 往 某 一 目 
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GEVO0 Ff Dom RowepN 3 


Receiver 
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Multicast static route ~ 








图 12-46 配置 组 播 静态 路 由 衔接 RPF 路 由 示例 

















的 。 在 进行 数据 转发 时 ， 














规则 分 两 种 情况 。 





表 中 的 一 种 ， 








长 越 优先 ， 因 为 这 样 的 路 8 








(1) 如 果 这 几 条 等 价 路 由 都 是 来 自 























则 选取 下 一 晶 
《2) 如 果 这 几 条 等 价 路 





























数 计算 选取 
从 上 分 析 可 以 看 出 ， 缺 和 4 





一 条 路 


Oz 
ACo 











a gh Wa 就 将 数据 在 这 多 条 路 径 上 转 




















一 条 路 径 上 转发 的 数据 流量 并 不 一 定 相 同 ， 转 发 流量 多 少 















































同一 个 路 由 表 ， 比 如 单 播 路 由 表 、 组 播 静态 路 由 表 或 者 MBGP 路 由 
































由 来 自 不 同 的 路 由 





kIP 地 址 最 大 的 路 由 作为 RPF 路 由 。 





表 ， 首 先 会 比较 路 由 优先 级 ， 再 比较 掩 码 长 度 〈 掩 码 长 度 越 








日 更 精确 ) 选择 一 条 路 由 作为 RPF 路 由 。 如 果 上 述 都 相同 ， 则 设备 会 根据 一 定 的 函 





作为 RPF 路 由 。 






































RPF 路 由 ， 进 行 组 播报 文 转发 。 


要 实现 组 播 负载 分 担 ， 


不 按照 以 上 介 











就 需要 在 多 条 等 价 


























情况 下 ， 无 论 上 述 哪 种 情况 ， 设 备 在 RPF 检 查 时 都 只 会 选取 出 一 条 路 由 作为 











的 最 优 转 发 路 径 上 根据 一 定 的 负载 分 担 方式 同时 转发 流量 ， 




















绍 的 RPF 检 查 规 则 来 选取 一 条 最 信 
音源 source 向 组 播 组 G 发 送 组 播 流 ， 路 由 器 RouterA 和 RouterD 之 间 运 行 某 种 


如 图 12-47 左 图 所 示 ， 组 ] 





E 的 RPF 路 











IGP 协议 (如 OSPF ) ， RouterA -, RouterB -, RouterD 和 RouterA -RouterC -RouterD 是 两 条 等 价 转发 路 径 。 
































缺 省 情况 下 ， 根 据 RPF 检 查 规则 ， 组 播 流 会 从 Int0 端 口 转发 ， 因 为 Int0 接 口 的 IP 地 址 比 Int1 接 口 IP 地 址 大 。 配 
置 组 播 负 载 分 担 之 后 ， 就 不 会 根据 下 一 跳 地 址 来 选取 转发 路 径 ， 此 时 RouterA ~ RouterB ~ RouterD 和 

















RouterA “RouterC “RouterD 这 两 条 路 径 都 会 转发 组 播 流 ， 如 图 12-47 右 图 所 示 。 











对 于 来 





自任 意 源 











担 方式 来 支持 不 同 应 | 














场合。 





昌 播 (*， 


G) 或 指定 源 (S，G) 组 播 的 数据 流 ,，“ 组 播 负 载 分 担 ” 提 供 了 不 同 的 负载 分 


配置 负载 分 担 前 的 流量 传递 配置 负载 分 担 后 的 流量 传递 






Source Receiver 








图 12-47 配置 组 播 负 载 分 担 前 后 对 比 示意 图 



































1. 基于 组 播 组 G 的 负载 分 担 

如 图 12-48 所 示 ， 从 同一 源 Source 发 往 不 同 组 播 组 G (G1~G10) 的 数据 流 ， 沿 途 的 Router7、Router6 
和 Router5 分 别 存在 两 条 来 自 源 Source 的 等 价 路 由 。 组 播 路 由 器 经 过 一 系列 算法 ， 从 等 价 路 径 中 为 不 同 的 组 
播 组 G 选 择 一 条 合适 的 路 径 作 为 转发 路 由 。 实 现 负载 分 担 后 ， 不 同 转发 路 径 上 的 流量 属于 不 同 的 组 播 组 G。 
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图 12-48 基于 组 播 组 G 的 负载 分 担 示意 











2. 基于 组 播 源 S 的 负载 分 担 

如 图 12-49 所 示 ， 从 不 同 源 Source 〈S1 一 S10) 发 往 相 同 组 播 组 G 的 数据 流 ， 沿 途 的 Router7、Router6 和 
Router5 也 分 别 存 在 两 条 来 自 源 Source 的 等 价 路 由 。 组 播 路 由 器 经 过 一 系列 算法 ， 从 等 价 路 径 中 为 不 同 的 组 
播 源 S 选 择 一 条 合适 的 路 径 作为 转发 路 由 。 实 现 负载 分 担 后 ， 不 同 转发 路 径 上 的 流量 属于 不 同 的 组 播 源 S。 
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图 12-49 基于 组 播 源 $ 的 负载 分 担 示意 医 





3. 基于 组 播 源 组 (S$，G) 的 负载 分 担 

如 图 12-50 所 示 ， 从 不 同 源 Source (S1~S10) 发 往 不 同 组 播 组 G (G1~G10) 的 数据 流 ， 沿 途 的 
Router7、Router6 和 Router5 也 分 别 存 在 两 条 来 自 源 Source 的 等 价 路 由 。 组 播 路 由 器 经 过 一 系列 算法 ， 从 等 价 
路 径 中 为 不 同 的 组 播 源 组 (S，G) 选择 一 条 合适 路 径 作为 转发 路 由 。 实 现 负载 分 担 后 ， 不 同 转发 路 径 上 的 





















































量 属于 不 同 的 组 播 源 组 (S，G 


sf 
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图 12-50 基于 组 播 源 组 CS，G) 的 负载 分 担 示意 图 








4. 其 他 负载 分 担 方式 











除了 以 上 介绍 的 几 种 负载 分 担 方式 ， 还 有 以 下 几 种 负载 分 担 方式 。 
(1) 稳定 优先 负载 分 担 。 如 图 12-54 所 示 ， 当 组 播 网 络 中 发 生路 由 振荡 时 ， 如 果 组 播 路 由 器 频繁 调整 






























































负载 会 加 剧 路 由 的 不 断 振荡 。 配 置 稳定 优先 负载 分 担 的 路 由 器 不 会 立刻 调整 负载 ， 而 是 等 到 振荡 结束 后 才 















































进行 调整 。 当 网 络 拓扑 稳定 无 振荡 时 ， 路 由 器 上 来 自 同一 个 组 播 源 的 路 由 表 项 会 均衡 分 布 在 各 等 价 路 径 






























































(3) 不 均衡 负载 分 担 。 同 机 

















(2) 均衡 优先 负载 分 担 。 同 样 参见 图 12-54， 当 组 播 网 络 中 发 生路 由 振荡 时 ， 配 置 均衡 优先 负载 分 担 
的 路 由 器 ， 会 立刻 重新 调整 负载 到 均衡 状态 。 当 网 络 拓扑 稳定 无 振荡 时 ， 路 由 器 上 来 自 同一 个 组 播 源 的 路 
表 项 会 均衡 分 布 在 各 等 价 路 径 上 。 



































参见 图 12-54， 不 均衡 负载 分 担 是 对 上 述 两 种 “稳定 优先 ?和 “均衡 优先 ” 负 





























载 分 担 方式 的 补充 ， 不 改变 这 两 种 方式 的 基本 行为 ， 只 是 让 路 由 表 项 按 比 例 分 布 在 各 等 价 路 径 上 。 实 际 网 





络 中 各 路 径 的 负载 能 力 存在 差异 
指定 接口 上 配置 权 值 ， 权 值 越 大 
























































， 或 者 需要 人 为 干预 某 路 径 上 的 负载 。 不 均衡 负载 分 担 模式 允许 在 路 由 器 
的 接口 所 在 路 径 上 分 布 的 路 由 表 项 越 多 ， 从 而 解决 上 述 问 题 。 























介绍 各 组 播 协议 的 各 主要 功能 配置 与 管理 方法 。 首 先 要 说 明 的 是 ， 本 章 所 说 的 “组 播 路 


播 路 由 协议 的 三 


第 














13 音 ”IP 组 播 配 置 与 管理 














13.1 IGMP 配 置 与 管理 


13.2 PIM-D 








M (IPv4)〉 配置 与 管理 











13.3 PIM-SM (IPv4) 配置 与 管理 


13.4 IGMP 


13.5 组 播 YLAN 配 置 与 管理 





























Snooping 配 置 与 管理 











第 12 章 比较 全 面 地 介绍 了 IP 组 播 相 关 的 基础 知识 ， 以 及 各 种 组 播 协议 的 功能 及 实现 原理 ， 本 章 要 正式 




















能 护 和 管理 


一 个 完整 的 组 播 网 络 ， 
层 组 播 协 议 ， 像 IGMP Snooping/MLD Snooping 这 样 的 二 层 组 播 协 议 。 其 中 IGMP/MLD 协 议 用 于 
的 组 成 员 的 维护 与 管理 ，PIMI 





























I AM | 





SSM Maping、 组 播 YLAN 等 这 类 协议 或 功能 
中 的 各 组 播 协 议 功能 
MSDP 配 置 。 


的 对 应 组 播 协 议 功能 。 
当然 ， 在 一 个 特定 的 组 播 网 络 中 ， 也 不 是 每 个 组 播 协议 上 
择 。 另 外 ， 像 MSDP、IGMP Snooping Proxy/MLD Snooping Proxy、IGMP SSM Maping、IGMP Snooping 

本 上 都 是 可 选 的 ， 不 是 必须 要 配置 的 。 本 章 仅 介绍 IPv4 网 络 








。 所 以 帮 




















层 交 换 机 和 路 由 器 的 总 称 。 



































] 于 组 播 路 


























1，IGMP Snoopi 
EE 配置 一 个 组 播 网 络 时 ， 一 定 要 根据 对 应 














ng/MLD Snooping| 

















器 ?也 是 对 运行 组 








般 不 是 仅 包括 一 种 组 播 协 议 ， 而 是 至 少 包括 像 IGMP/MLD、PIM 协 议 这 样 的 三 


三 层 交 换 机 

















的 组 播 网 络 设备 类 型 完 


的 每 个 功能 都 需要 配置 ， 也 要 根据 实际 需要 选 
































和 置 ， 但 





13.1 IGMP 配 置 与 管理 























IGMP (Internet Group Management Protocol， 因 特 网 组 管 到 














管理 的 




















相 令 


IGMPvV3 





的 组 播 路 
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直接 应 | 








SSM Mapping 结 


下 。 





13.1.1 IGMP 特 性 的 产品 支持 


说 明 























IRFC3376 定 义 ) 
于 SSM 〈 指 定 源 组 播 ) 模型 ， 


而 的 配置 ， 

















人 
口 





能 应 用 于 SSM 模 型 
































(1) 在 IGMP 视 图 下 的 配置 全 
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均 不 考虑 多 VPN 实 例 情形 ， 














1 于 篇 幅 限 人 




















协议 ， 需 要 在 组 播 组 成 员 主 机 和 与 之 相连 的 组 播 路 由 器 上 运行 ， 
器 之 间 建 立 、 维 护 组 播 组 成 员 关 系 。 


目前 为 止 ，IGMP 有 3 个 版 本 : IGMPv1 版 本 ( 




















， 凡 同时 支持 全 局 配置 〈 即 IGMP 配 置 ) 和 接 








有 效 ， 在 接 











局 














(2) 如 果 接 
配置 时 ，IG 
(3) 如 果 IGMP 视 图 下 配置 非 缺 省 值 ， 则 接 























MP 视 








图 和 IGMP 视 
配置 的 值 有 效 。 


口 视 
图 下 





























视图 





























视图 


下 的 配置 
图 下 都 配置 了 命令 ， 则 优先 选择 接 












































于 二 层 交 换 机 








上 的 组 成 员 
整地 配置 各 设备 上 运行 











前 ， 不 介绍 

















于 多 PIM 域 组 播 的 





协议 ) 是 TCP/IP 协 议 族 中 负责 IPv4 组 播 成 员 
用 来 在 组 播 组 成 员 主 机 和 与 其 直接 





1IRFC1112 定 义 ) 、IGMPvV2 版 本 (由 RFC2236 定 义 ) 和 
版 本 。 所 有 IGMP 版 本 都 支持 ASM 〈( 任 意 源 组 播 ) 。 运 行 IGMPvV3 的 主机 可 以 
而 运行 IGMPv1 和 IGMPv2 的 主机 则 需要 与 在 IGMP 交 换 机 上 运行 的 








配置 ， 则 最 终 的 配置 生效 原则 如 





只 对 该 接口 有 效 。 


























视图 








下 配置 的 缺 省 值 无 效 。 


下 配置 的 值 。 





























接口 视图 下 没有 























在 交换 机 上 配置 IGMP 协议 时 ， 可 以 配置 的 功能 特性 包括 IGMP 基本 功能 、IGMP 性 能 调整 (包括 
Router-Alert 选 项 、IGMP 查 询 控制 器 、 人 快速 离开 和 IGMP 报 文 过 滤 等 ) 、SSM-Mapping、IGMP 组 成 员 关 系 个 
数 限制 等 。 

| 






























































里 要 特别 说 明 的 是 ，IGMP 是 三 层 组 播 协 议 ， 需 要 运行 在 配置 了 IP 地 址 的 三 层 接 口上 ， 但 华为 S 系 
列 交换 机 的 物理 以 太 网 端口 是 不 能 直接 配置 IP 地 址 的 ， 所 以 在 配置 IGMP 协 议 时 只 能 选择 可 以 配置 IP 地 址 的 
VLANIF 接 口 或 者 Loopback 接 口 ( 在 S9300/9300E/9700 系 列 中 还 支持 POS 接 口 和 IP-Trunk 接 口 ) 。 在 本 章 配 
， 如 无 特殊 说 明 ， 接 口 的 配置 一 般 选 择 VLANIF 接 口 ， 但 需要 事先 将 对 应 的 物理 接口 加 入 到 该 VLAN 
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on 


中 。 

1. IGMP 基 本 功能 

华为 $ 系 列 交换 机 中 的 IGMP 基 本 功能 配置 包括 以 下 几 个 方面 。 

(1) IGMP 版 本 配置 ; 支持 IGMPv1、IGMPv2 和 IGMPv3， 版 本 可 配置 。 由 于 不 同 版 本 的 IGMP 协 议 报 
文 不 相同 ， 因 此 ， 需 要 为 交换 机 和 组 播 组 成 员 主 机 配置 匹配 的 版 本 《交换 机 侧 的 高 版 本 可 以 兼容 主机 侧 的 
低 版 本 ) 。 现 在 一 般 的 主机 操作 系统 都 支持 IGMPv3 了 ， 如 Windows XP、Windows Server 2003、Windows 
Vista、Windows 7 和 Windows 8 等 。 

(2) 配置 静态 加 入 组 播 组 : 当 网 络 中 存在 稳定 的 组 播 组 成 员 时 ， 通 过 配置 交换 机 用 户 侧 接口 静态 加 入 
站 定 的 组 播 组 ， 可 以 实现 组 播 数据 的 快速 、 稳 定 转发 。 

(3) 配置 接口 允许 加 入 的 组 播 组 范围 : 通过 在 交换 机 用 户 侧 对 应 接口 上 设置 一 个 ACL 规 则 作为 过 滤 
器 ， 就 可 以 限制 该 接口 所 服务 的 组 播 组 范围 ， 从 而 控制 组 播 数据 的 安全 发 送 。 

2. IGMP 性 能 调整 
在 IGMP 性 能 调整 方面 ， 可 配置 以 下 功能 

(1) Router-Alert 选 项 : 配置 设备 仅 接收 包含 Router-Alert 选 项 的 IGMP 报 文 ， 提 高 安全 性 。 

(2) 查询 器 : 对 IGMP 查 询 器 的 参数 进行 合理 配置 ， 既 可 以 使 成 员 关 系 得 到 及 时 的 更 新 维护 ， 又 可 以 

避免 报 文 发 送 过 多 造成 网 络 扩 

(3) 快速 离开 : 使 IGMP 协 议 可 以 快速 响应 成 员 主 机 的 Leave (离开 ) 报 文 。 

(4) IGMP On-Demand: 可 根据 组 播 成 员 的 实际 需求 维护 组 成 员 之 间 的 关系 ,减少 了 报 文 交互 ， 降 低 
网 络 流量 。 

(5) IGMP 报 文 过 滤 : 可 根据 组 播报 文中 源 耳 地 址 来 过 滤 用 户 侧 IGMP 接 口 收 到 的 IGMP 报 文 ， 提 高 安 
全 性 。 

3. SSM Mapping 

SSM 是 一 种 在 IGMPv3 协 议 支 持 的 情况 下 ， 能 够 在 用 户 侧 IGMP 接 口上 指定 组 播 源 的 传输 服务 。 但 有 时 
组 播 组 成 员 主机 却 只 能 运行 IGMPv1 或 IGMPv2， 这 时 就 可 以 通过 在 交换 机 上 配置 SSM Mapping 功 能 ， 向 运 
行 IGSMPv1 或 IGMPv2 的 组 成 员 提 供 SSM 服 务 。 

4. IGMP Limit 

IGMP 协 议 规定 ， 成 员 可 以 在 任意 时 间 、 任 意 位 置 、 成 员 总 数 不 受 限制 地 加 入 或 退出 组 播 组 。 但 是 当 大 
量 用 户 同 时 收看 多 套 节 目 时 ， 需 要 占用 组 播 设备 的 大 量 带宽 ， 可 能 会 造成 组 播 性 能 下 降 。 为 了 避免 这 种 情 
况 的 发 生 ， 交 换 机 支持 IGMP Limit 功 能 ， 通 过 限制 全 局 和 用 户 侧 IGMP 接 口 下 的 组 播 组 个 数 ， 使 加 入 组 播 组 
的 用 户 收 看 更 加 清晰 稳定 的 节目 。 
在 以 上 四 方面 的 特性 中 ，S2700/3700 系 列 交 换 机 除 不 文 持 GMP 报 文 过 滤 ”" 和 “IGMP Limit” 特 性 外 ， 其 
他 特性 均 支 持 ， 其 他 系列 均 支 持 上 述 所 有 IGMP 特 性 。 但 各 系列 缺 省 情况 下 可 支持 的 并 发 用 户 数 不 同 ; 
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S5700EI 系 列 最 多 
最 多 能 够 同时 处 到 























能 够 同时 处 到 
EE 大 约 190 个 旨 


13.1.2 配置 IGMP 基 本 功能 

















机 可 以 接 入 组 ] 


的 IGMP 配 置 入 

















bs 
说 明 





























1. IGMP 配 置 任 











务 




















大 约 150 个 组 播 用 户 的 点 播 需 求 ，S5710EI5700HI7700/9300/9300E/9700 系 列 
日 播 用 户 的 点 播 需 求 ，S6700 系 列 最 多 能 够 同时 处 理 大 约 290 个 组 播 用 户 的 点 播 





















































在 成 员 主 机 和 与 之 相连 的 交换 机 上 配置 IGMP， 在 此 仪 介绍 在 交换 机 上 配置 IGMP 的 方法 。 在 以 下 介绍 
E 务 中 ， 仪 “使 能 IGMP 功 能 "和 “配置 IGMP 版 本 ”为 必 选 配置 ， 其 他 为 可 选 配置 ， 请 根据 需要 选 





























缺 省 情况 下 ， 华 为 S$ 系列 交换 机 未 使 能 IP 组 播 路 由 、IGMP 和 IGMP SSM Mapping 功能 ，IGMP 的 版 本 
为 IGMPv2。 








通过 在 与 用 户 网 段 相 连 的 组 播 设 备 〈 此 处 指 S 系 列 交 换 机 ， 下 同 ) 接口 上 使 能 IGMP 基本 功能 ， 用 户主 























路 由 可 达 。 主 要 的 配 


的 前 提 。 如 果 























(1) 使 能 IGMP 






































看 网 络 ， 接 收 组 播报 文 。 但 在 配置 IGMP 基 本 功能 之 前 ， 需 配置 单 播 路 由 协议 ， 使 各 节点 间 IP 
置 任务 如 下 。 












































功能 。 配 置 IGMP 协 议 之 前 ， 必 须 先 使 能 IP 组 播 路 由 功能 ， 因 为 它 是 配置 一 切 组 播 功 能 


停止 IP 组 播 路 

















， 组 播 所 有 相关 配置 将 无 法 生效 。IGMP 应 该 配置 在 与 组 成 员 相连 的 接口 上 



































《2) 配置 IGMP 版 本 。 运 行 IGMP 高 版 本 的 交换 机 可 以 识别 低 版 本 的 成 员 报告 ， 但 是 低 版 本 的 交换 机 不 









































































































































































































































能 识别 高 版 本 的 成 员 报告 。 为 了 保证 IGMP 的 正常 运行 ， 建 议 在 交换 机 上 配置 与 组 播 组 成 员 主 机 上 运行 相 
同 ， 或 高 于 组 播 组 成 员 主 机 的 版 本 。 

如 果 在 主机 侧 共享 网 段 上 有 多 个 交换 机 ， 由 于 不 同 版 本 的 IGMP 协 议 报 文 结构 不 同 ， 为 了 保证 IGMP 的 
正常 运行 ， 必 须 在 所 有 交换 机 接口 配置 相同 的 IGMP 版 本 。 

此 项 配置 同时 支持 全 局 配置 ( 即 IGMP 视 图 ) 和 接口 配置 ， 生 效 原 则 参见 本 节 前 面 说 明 。 

(3) (可 选 ) 配置 静态 组 播 组 。 在 以 下 应 用 场景 中 ， 可 在 交换 机 的 用 户 侧 接口 上 配置 静态 组 播 组 。 

Q 网 络 中 存在 稳定 的 组 播 组 成 员 。 


网 段 ， 可 以 在 接 























@ 茶 网 段 内 没有 组 播 组 成 员 或 组 播 组 成 员 主机 无 法 发 送 Report 报 文 ， 但 是 又 需要 将 
































日 播 数 据 。 

















口上 配置 静态 组 播 组 ， 将 组 播 数据 “ 拉 ” 到 接口 上 。 
在 接口 上 配置 静态 组 播 组 后 ， 交 换 机 就 认为 此 接口 网 段 上 一 直 存 在 该 组 播 组 的 成 员 ， 从 而 转发 该 组 的 


(4) (可 选 ) 配置 接口 加 入 





纪 


组 播 组 ， 并 接收 这 些 
换 机 只 对 该 规则 中 允 i 











2. 配置 步 又 














组 的 报 文 ， 可 
午 的 组 播 组 维 














以 上 四 大 IGMP 志 





起 本 功能 








总 


播 数据 转发 到 该 














的 组 播 组 范围 。 为 了 让 IGMP 接口 所 在 网 段 的 组 播 组 成 员 主 机 加 入 指定 的 


























以 在 该 接口 上 设置 ACL 规 则 ， 对 收 到 的 成 员 Report 报 文 进行 过 滤 ， 使 交 











E 护 组 成 员 关 系 。 








儿 置 








王 务 的 具体 配置 步骤 如 表 13-1 所 示 。 





表 13-1 IGMP 基 本 功能 配置 步 驰 


























System-view 





八 壮 
2 例如 : <HUAWEI> 进入 系统 视图 
System-view 

使 能 IP 组 播 路 由 功能 。 全 局 使 能 组 播 路 由 功能 是 
配置 三 层 组 播 功 能 的 前 提 , 即 只 有 在 使 能 了 组 播 路 
由 功能 之 后 ， 才 能 配置 PIM、IGMP 等 一 些 三 层 组 
播 协议 以 及 其 他 三 层 组 播 功能 

使 能 multicast routing-enable 缺 省 情况 下 ,没有 使 能 组 播 路 由 功能 , 可 用 undo 

IGMP 例如 : [HUAWEI] multicast routing-enable 命令 去 使 能 组 播 路 由 

功能 multicast routing-enable 功能 








【注意 】 使 用 undo multicast routing-enable 命令 将 清 
除 设备 上 所 有 的 组 播 配置 。 如 果 设备 上 正在 运行 组 播 
业务 , 则 组 播 业 务 将 会 中 止 ; 如 果 下 次 需要 恢复 组 播 
业务 ， 必 须 重 新 配置 被 清除 掉 的 组 播 命 令 





interface imterface-type 
interface-number 

例如 : [HUAWEH] 
interface vlanif 10 


igmp enable 
例如 : [HUAWEI-Vlanifi0] 


igmp enable 


键入 要 使 能 1GMP 功能 的 VLANIF 或 者 Loopback 接 
口 (不 能 直接 键入 物理 接口 , 但 要 把 对 应 的 物理 接 
口 加 入 此 VLAN 中 )， 进 入 对 应 的 接口 视图 


在 以 上 VLANIF 或 者 Loopback 接口 上 使 能 IGMP 
功能 ， 这 样 组 播 设 备 才 能 处 理 来 自主 机 的 协议 报 文 
【注意 】 如 有 果 接 口上 需要 同时 使 能 PIM 和 IGMP， 
必须 要 先 使 能 PIM， 再 使 能 IGMP; 使 能 IGMP 前 
如 有 果 接 口上 配置 了 其 他 IGMP 参数 , 只 有 在 配置 了 
此 命令 后 才 生 效 





quit 
例如 : [HUAWEI-Vianifi0] 
quit 


igmp 
例如 : [HUAWEI] igmp 


version 111213} 
例如 : [HUAWEI-igmp] 
version 3 


interface interface-type 
interface-number 
例如 : [HUAWEI 
interface vlanif 10 


退出 接口 视图 ， 返 回 系 统 视图 


进入 IGMP 视图 。 与 IGMP 相关 的 全 局 

参数 必须 在 IGMP 视图 下 配置 

可 用 undo igmp 命令 清除 IGMP 视图 下 
的 所 有 配置 

在 全 局 上 配置 1GMP 的 版 本 , 所 配置 的 版 本 配置 
将 应 用 于 本 地 交换 机 上 所 有 使 能 了 IGMP | 全局 的 
功能 的 接口 ,为 了 保证 正常 工作 , 需要 在 同 网 | |GMp 
段 所 有 组 播 设 备 上 配置 相同 版 本 的 IJGMP，| 版 本 
因为 IGMP 各 版 本 之 间 不 能 自动 转换 

缺 省 情况 下 ，IGMP 的 版 本 是 IGMPv2， 

可 用 undo version 命令 恢复 缺 省 的 IGMPv2 

版 本 。 如 果 此 处 配置 的 是 非 缺 省 值 ， 则 

下 面 在 接口 视图 下 配置 的 缺 省 值 无 效 


(可 选 ) 再 次 键入 前 面 使 能 了 IGMP 功能 

的 VLANIF 或 者 Loopback 接口 , 进入 对 | ，， 
应 的 接口 视图 配置 
接口 的 





igmp version | 112|3} 
例如 : [HUAWEI-Vlanif10] 
igmp version 3 


igmp static-group 
group-address 

[ ine-step-mask 

{ group-mask | 
group-mask-length } 
number group-number ] 
[ source source-address ] 
例如 : [HUAWEI-Vlanif10] 
igmp static-group 
225.1.1.1 ine-step-mask 
32 number 10 


《可 选 ) 在 以 上 VLANIF 或 者 Loopback 接 | IGMP 
口上 配置 IGMP 版 本 ， 仅 作用 于 此 接口 版 本 
缺 省 情况 下 ,接口 上 运行 IGMPv2, 可 用 undo 

imp version 命令 恢复 为 缺 省 的 IGMPv2 版 本 

在 以 上 VLANIF 或 者 Loopback 接口 上 配置 静态 组 
播 组 , 使 该 接口 静态 加 入 一 个 或 者 一 个 范围 的 组 播 
组 .命令 中 的 参数 说 明和 选项 如 下 。 

(1) group-address: 指定 接口 要 加 入 的 组 播 组 IP 
地 址 ， 为 D 类 组 播 地 址 ， 取 值 范围 是 224.0.1.0 一 
239.255.255.255。 如 果 为 批量 配置 方式 ， 则 为 组 地 
址 序列 的 起 始 组 播 组 地 址 

(2) inc-step-mask: 可 选项 ， 指 定 批量 配置 方式 中 
的 各 组 播 组 地 址 间 的 递增 掩 码 。 可 以 通过 下 面 的 
group-mask〔 组 播 组 地 址 递增 掩 码 ) 或 者 group- 
mask-length 组 播 组 地 址 递增 拖 码 长 度 ) 来 类 示 
(3) group-mask: 二 选 一 可 选 参数 ， 指 定 批量 配置 
方式 中 的 组 播 组 地 址 递增 掩 码 , 即 组 播 组 地 址 序列 
中 相 邻 两 个 组 播 组 地 址 的 间隔 。 它 采用 反 撩 码 〔 即 











igmp static-group 
group-address 
[inc-step-mask 
{ group-mask | 
(可 选 ) group-mask-length } 
配置 静态 10 | number group-number ] 
组 播 组 [ sourcee source-address ] 
例如 : [HUAWEI-Vlanif10] 
igmp static-group 
225.1.1.1 inc-step-mask 
32 number 10 


子 网 掩 码 的 反 码 ) 形式 表示 ， 点 分 十 进 制 形式 ， 取 
值 范围 是 0.0.0.1 一 255.255.255.25$， 用 于 表示 一 个 
组 播 组 地 址 范围 

(4) group-mask-length: 二 选 一 可 选 参数 ， 指 定 批量 
配置 方式 中 的 组 播 组 地 址 递增 掩 码 长 度 ( 值 为 1 的 连 
续 位 长 度 )， 取 值 范围 为 4 一 32 的 整数 ， 也 可 用 于 表 
示 一 个 组 播 组 地 址 范围 。 当 组 播 组 地 址 步 长 掩 码 长 度 
为 32 时 表示 任意 组 播 组 地 址 。 但 使 用 本 参数 配置 组 
播 组 地 址 递增 掩 码 后 ， 在 使 用 display current- 
configuration 命令 查看 相关 配置 信息 时 , 显示 的 组 
地 址 递增 范围 掩 码 仍 将 转换 为 group-mask 格式 
(5) number group-number: 可 选 参 数 ， 指 定 批量 
配置 方式 中 接口 可 加 入 的 组 播 组 地 址 个 数 , 取 值 范 
围 为 2 一 512 的 整数 

(6) souree source-address: 可 选 参 数 ， 指 定 允 许 静 
态 加 入 的 组 播 组 中 的 组 播 源 IP 地 址 (是 一 个 单 播 
卫 地址), 此 时 接口 中 的 组 播 转发 表 中 为 SSM 模式 
的 (S，G) 格式 ， 如 果 不 指定 此 可 选 参数 ， 则 为 
ASM 模型 的 〈*，G) 格式 

【注意 】 执 行 本 命令 后 ， 接 口上 的 IGMP 静态 组 记 
录 永 远 不 会 超时 ， 交 换 机 会 认为 该 接口 上 始终 连接 
着 组 成 员 主 机 , 并 持续 向 该 接口 所 在 网 段 转 发 符合 
条 件 的 组 播报 文 。 当 组 播 组 成 员 不 再 需要 静态 加 入 
的 组 播 组 数据 时 ， 需 要 手动 删除 静态 组 播 组 配置 。 
不 同 的 组 播 组 批量 配置 可 以 存在 相同 的 组 播 组 地 址 
第 一 次 配置 批量 组 播 组 后 , 若 再 配置 批量 组 播 组 时 只 
修改 group-number 的 配置 值 ， 不 改变 group-address 
和 group-mask | group-mask-length 的 配置 值 ， 则 会 
改 蔓 之 前 的 批量 组 播 静 态 组 配置 

缺 省 情况 下 ， 接 口 未 配置 任何 静态 组 播 组 ， 可 用 
undo igmp static-group { all | grvup-address 
[ inc-step-mask {| group-mask | group-mask-length } 
number group-number ] [ Souree source-address ] } 命 


令 删 除 接口 上 配置 的 静态 组 播 组 





(可 选 ) igmp group-policy 

配置 接口 { acl-umber | acl-name 
11 acl-name } [1|1213] 

加 入 的 组 例如 : [HUAWELVIanifl0] 

播 组 范围 igmp group-policy 2001 2 








在 接口 上 设置 IGMP 组 播 组 的 过 滤 策 略 , 限制 组 播 
组 成 员 主 机 能 够 动态 加 入 的 组 播 组 范围 。 命令 中 的 
参数 和 选项 说 明 如 下 。 

(1) faci-nztmper| acl-name acl-name }: 指定 要 在 
策略 中 用 于 过 滤 成 员 主机 发 送 的 Report 报 文 的 数 
字 型 或 者 命名 型 ACL。 在 定义 ACL 的 rule 时， 遂 
过 permit 参数 仅 允 许 接口 下 成 员 主机 可 以 加 入 指 
定 地 址 范围 的 组 播 组 ， 如 果 指 定 的 ACL 来 定义 规 
则 ， 则 禁止 接口 下 成 员 主 机 加 入 所 有 组 播 组 。 有 关 
ACL 方面 的 知识 具体 参见 本 书 第 9 章 

(2) [11213]: 可 选项 ， 指 定 要 通过 ACL 限制 加 
入 特定 组 播 组 的 组 成 员 主机 运行 的 IGMP 版 本 。 如 
果 不 指 定 IGMP 版 本 ， 则 该 ACL 同时 适用 于 
IGMPv1、v2 和 v3 版 本 的 主机 





igmp group-policy 

{ acl-number | acl-name 
acl-name } [1|2|3] 
例如 : [HUAWEI-Vlanif10] 
igmp group-policy 2001 2 








【说 明 〗 为 了 让 接口 所 连接 网 络 上 的 主机 加 入 指定 
范围 的 组 播 组 ， 并 接收 这 些 组 的 报 文 ， 可 以 使 用 本 
命令 在 对 应 接口 上 设置 一 个 ACL 规则 作为 过 滤 
器 ， 以 限制 接口 所 服务 的 组 播 组 范围 ， 从 而 提高 
IGMP 的 安全 性 。 当 交换 机 不 希望 接收 某 些 组 的 加 
入 报 文 ， 不 希望 转发 该 组 播 组 的 数据 时 ， 也 可 以 通 
过 本 命令 加 以 限制 

缺 省 情况 下 , 接口 可 以 加 入 任何 组 播 组 , 可 用 undo 
igmp group-policy 命令 取消 接口 上 配置 的 组 播 组 
过 滤 策 略 








【示例 1】 在 与 用 户 相 连 的 VLANIF100 接 口 〈 先 要 把 对 应 物理 接口 加 入 VLAN 100 中 ) 配置 静态 组 播 组 


224.1.1.1。 





<HUAWEI>system-view 








[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] igmp static-group 224.1.1.1 
【示例 2】 配 置 YLANIF100 接 口 加 入 组 播 源 了 地 址 为 192.168.10.1， 组 播 组 也 地 址 为 232.1.1.1 的 组 播 组 
(192.168.10.1，232.1.1.1) 中 。 
<HUAWEI> system-view 
[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] igmp static-group 232.1.1.1 source 192.168.10.1 
【示例 3】 配 置 VLANIF100 接 口 加 入 以 225.1.1.1 为 起 始 组 播 组 IP 地 址 ， 组 播 组 地 址 递增 掩 码 长 度 为 
8 相当 于 组 播 组 子 网 大 码 为 255.255.255.0) ， 组 播 组 地 址 数量 限制 为 10 的 批量 组 播 组 中 。 
<HUAWEI> system-view 
[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] igmp static-group 225.1.1.1 inc-step-mask8number 10 
【示例 4】 配置 VLANIF100 接 口 加 入 以 232.1.1.1 为 起 始 组 播 组 IP 地 址 ， 组 播 源 IP 地 址 为 192.168.11.1， 组 
播 组 地 址 递增 掩 码 为 0.0.255.255， 组 地 址 数量 限制 为 10 的 批量 组 播 组 中 。 
<HUAWEI>system-view 
[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] igmp static-group 232.1.1.1 inc-step-mask0.0.255.255 number10 source192.168.11.1 
【示例 5】 创 建 编号 为 2005 的 ACL， 人 允许 主机 接收 来 自 组 播 组 225.1.1.1 的 数据 ， 然 后 在 VLANIF100 接 口 
应 用 过 滤 策 略 ， 以 限定 该 接口 下 的 主机 只 能 加 入 组 播 组 225.1.1.1。 
<HUAWEI> system-view 
[HUAWEI] acl number 2005 
[HUAWE1I-acl-basic-2005] rule permit source 225.1.1.1 0 
[HUAWE1I-acl-basic-2005] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] interfacevlanif 100 
[HUAWEI-Vlanif100] igmp group-policy 2005 































































































13.1.3 调整 IGMP 性 能 











使 能 IGMP 后 ， 缺 省 情况 下 可 以 正常 工作 。 但 也 可 根据 安全 性 和 网 络 性 能 优化 的 要 求 适当 调整 相关 参 
数 。 当 然 ， 事先 要 配置 好 上 节 介绍 的 IGMP 基 本 功能 ， 否 则 所 配置 的 参数 不 会 立即 生效 。 可 以 调整 的 GMP 
性 能 参数 包括 以 下 几 个 方面 〈 均 为 可 选 配置 任务 ) 。 

1. 配置 Router-Alert 选 项 

通常 情况 下 ， 网 络 设备 收 到 报 文 时 ， 只 有 目的 了 P 地 址 为 本 设备 接口 地 址 的 报 文才 会 上 送 给 相应 的 协议 
模块 处 理 。 这 样 就 会 存在 一 个 问题 ， 如 果 协 议 报 文 的 目的 地 址 不 为 本 设备 的 接口 地 址 ， 比 如 IGMP 协 议 报 
文 ， 由 于 其 目的 地 址 为 组 播 地 址 ， 这 种 情况 下 就 无 法 上 送 给 IGMP 协 议 模块 处 理 ， 导 致 正常 的 组 成 员 关 系 不 
能 维护 。 为 了 解决 此 类 问题 ， Router-Alert 选 项 应 运 而 生 。 如 果 卫 报 文 头 中 携带 Router-Alert 选 项 ， 设 备 在 接 













































































































































































































































































































































































































































































































































































































































































































































































































































收 到 此 类 报 文 后 会 直接 上 送 给 相应 的 协议 模块 处 理 ， 而 不 检查 目的 地 址 。 

缺 省 情况 下 ， 出 于 兼容 性 考虑 ， 当 前 交换 机 在 收 到 IGMP 报 文 后 ， 无 论 其 IP 报 文 头 是 否 包 含 Router-Alert 
ea 里 。 交 换 机 在 发 送 IGMP 报 文 时 ， 也 可 以 选择 是 否 需 要 携带 Router-Alert 选 
项 。 缺 省 情况 下 ， 组 播 设 备 发 送 的 IGMP 报 文中 携带 Router-Alert 选 项 。 

此 项 配置 同时 支持 全 局 配置 〈 即 IGMP 视 图 ) 和 接口 配置 ， 生 效 原则 参见 本 节 前 面 说 明 。 

2. 配置 IGMP 查 询 器 参数 

IGMP 通 过 查询 /响应 报 文 维护 组 成 员 关 系 。 当 同一 网 段 上 有 多 台 组 播 设 备 时 ， 是 由 IGMP 查 询 器 负责 发 
送 IGMP 查 询 报 文 ， 这 时 就 需要 指定 IGMP 查 询 器 (在 IGMPv1 中 ， 查 询 器 是 由 PIM 协 议 指 定 的 ，IGMPv2 和 
IGMPv3 可 以 手动 配置 ) 。IGMP 碍 询 器 在 工作 过 程 中 使 用 了 表 13-2 所 示 的 多 项 参数 ， 缺 省 情况 下 这 些 参数 
可 以 正常 工作 。 同 时 根据 需要 ， 也 可 以 通过 命令 行进 行 调整 。 

表 13-2 可 以 调整 的 IGMP 性 能 参数 
查询 器 参数 参数 说 明 支持 的 版 本 
IGMP 普遍 组 | 查询 器 周期 性 地 发 送 普 站 组 查询 报 文 ， 维 护 接口 上 的 组 成 员 关系 ， | !IGMPv1、 
二 本 参数 定义 了 发 关 该 报 广 的 时 间 问 商 " 续 省 全 为 Gus) Mv 
健 狂 系 到 是 指 用 来 路 补 可 能 发 和 的 网 络 包 而 设 置 的 消息 重 传 次 
数 缺 省 值 为 2) 上 MR 定 以 TA 
IGMP (1) 当 IGMP 人 时 人 IGMPv2 
健壮 系数 文 ” 发送 时 间 间 隔 为 “IGMP 普遍 i ”的 114 GN 
(2) 当 组 播 设备 收 到 Leave 报 文 后 ， 发 送 “ 健 壮 系数 次 的 。 “IGMP 
特定 组 查询 报 文 ” 发 送 间隔 为 “IGMP 特定 组 查询 报 文 发 送 间 隔 ” 
dd 组 播 组 成 员 接收 到 一 个 IGMP 查询 报 文 后 ， 会 在 最 大 响应 时 间 ( 缺 | IGMPv2、 
啊 应 时 间 ”| 省 值 为 10s) 内 发 送 Report 报 广 IGMPv3 
如 果 非 查询 器 在 “其 他 IGMP 查询 器 的 存活 时 间 ” 内 收 不 到 查询 报 
其 他 IGMP | 文 ， 就 认为 查 移 器 失效 ， 自动 发 起 查询 器 选举 IGMPv2 
查询 器 的 。 |“ 其 他 IGMP 查询 器 存活 时 间 ” 二 “普遍 组 查询 报 文 发 送 间隔 ”*“ 健 |]GMpyv3 
存活 时 间 ”| 壮 系数 ”+“ 最 大 响应 时 间 ”* (1/2)。 当 等 式 右边 的 参数 都 取 缺 省 
值 时 ,“ 其 他 IGMP 查询 器 存活 时 间 ” 的 值 为 125s 
IGMP 特定 组 | 当 查 询 器 收 到 主机 退出 某 组 播 组 的 Leave 报 文 时 ， 会 连续 TA 
查询 报 文 的 “| 组 查询 报 文 ， 询 问 该 组 播 组 是 否 还 存在 成 员 。 本 参数 定义 了 % es 
发 送 间隔 ”| 报 文 的 时 间 间 隔 〈 缺 省 值 为 1s) 

在 实际 配置 中 ， 要 确保 *IGMP 查 询 报 文 最 大 响应 时 间 ”<“IGMP 普 遍 组 查询 报 文 发 送 间 隔 ”<“* 其 他 IGMP 
查询 器 存活 时 间 ”。 在 共享 网 段 内 ， 如 果 多 台 设 备 的 用 户 侧 接 口 都 使 能 了 IGMP， 应 确保 设备 上 配置 的 查询 
器 参数 一 致 ， 否 则 有 可 能 导致 IGMP 协 议 无 法 正常 运行 。 

此 项 配置 同时 支持 全 局 配置 〈 即 IGMP 视 图 ) 和 接口 配置 ， 生 效 原 则 参见 本 节 前 面 说 明 。 

3. 配置 IGMP 快 速 离开 

在 某 些 应 用 中 ，IGMP 查 询 器 的 一 个 接口 下 只 连接 着 一 台 成 员 主 机 (这 是 前 提 条 件 ) ， 当 主机 需要 在 
多 个 组 播 组 间 频 繁 切 换 时 ， 为 了 快速 响应 主机 的 离开 组 报 文 ， 可 以 在 IGMP 查 询 器 上 配置 IGMP 快速 离开 功 
































能 。 这 样 ， 当 查询 器 收 到 来 自主 机 的 Leave (离开 〉 报 文 时 ， 不 再 发 送 特 定 组 查询 报 文 ， 而 是 直接 向 上 游 发 


送 离开 通告 。 


























这 样 可 减 小 响应 延迟 ， 也 节省 网 络 带 宽 。 
IGMP 快 速 离开 功能 仅 适 用 于 IGMPv2 和 IGMPv3 版 本 。 此 项 配置 同时 支持 全 

























































































































































































局 配置 〈 即 IGMP 视 图 ) 














和 接口 配置 ， 生 效 原 则 参见 本 节 前 面 说 明 。 

4. 配置 IGMP On-Demand 

在 标准 的 IGMP 工作 机 制 中 ， 查 询 器 通过 周期 性 发 送 查 询 报 文 并 接收 成 员 反馈 的 Report 和 Leave 报 文 来 
了 解 组 播 组 成 员 信息 ， 组 成 员 收 到 查询 时 都 会 进行 回应 。 为 了 减少 这 个 过 程 中 的 报 文 交互 ， 降 低 网 络 流 
量 ， 可 以 在 查询 器 上 配置 IGMP On-Demand 功 能 。 使 能 了 IGMP On-Demand 功 能 后 ， 查 询 器 可 根据 组 播 组 
成 员 的 要 求 来 维护 成 员 关 系 ， 不 再 主动 发 送 查 询 报 文 来 收集 成 员 状 态 。 


IGMP On-Demand 只 迁 





























于 IGMPv2 和 IGMPv3。 





渡 。 





5， 配置 根据 源 地 址 过 滤 IGMP 报 文 


为 了 提高 安全 性 ， 可 以 在 交换 机 的 接口 











除 S2700/3700 系 列 交 换 机 外 ， 其 他 所 有 S 系 列 交 换 机 均 支 持 IGMP 报 文 过 滤 。 


以 上 五 方 




















配置 任务 


























表 13-3 调整 IGMP 性 能 参数 的 配置 步 又 


面 的 IGMP 性 能 参数 配置 步骤 如 表 13-3 所 示 。 


取 















公共 


配置 步骤 





配置 
Router- 
Alert 选项 









System-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 












igmp 
例如 ; [HUAWEI] igmp 


进入 IGMP 视图 , 其 他 说 明 参 见 表 13-1 
中 的 第 2 步 











require-router-alert 
例如 : [HUAWEI-igmp] 
require-router-alert 





全 局 配置 丢弃 IP 报 文 头 中 不 包含 
Router-Alert 选项 的 IGMP 消息 。 这 样 
在 当 交 换 机 接收 到 IGMP 消息 检查 该 
IP 报 文 头 中 的 Router-Alert 选项 时 ,如果 
不 包含 该 选项 ， 就 丢弃 这 个 IGMP 消息 
缺 省 情况 下 ， 交 换 机 不 对 Router-Alert 
选项 进行 检查 ， 即 处 理 所 有 接收 到 的 
IGMP 消息 ， 可 用 undo require- 
router-alert 命令 全 局 恢复 缺 省 配置 
















配置 全 局 
Router- 


Alert 选项 





上 对 IGMP 报 文 〈 包 括 Query 报 文 、Report 和 Leave 报 文 ) 进行 过 


( 续 表 ) 


Send-router-alert 
例如 ，[HUAWELigmp] 
send-router-alert 


全 局 指定 该 交换 机 发 送 的 IGMP 报 文 
的 中 报头 中 包含 Router-Alert 选项 
缺 省 情况 下 ， 该 交换 机 发 送 的 IGMP 
报 文 头 中 包含 Router-Alert 选项 ， 可 用 
undo send-router-alert 命令 全 局 指定 
该 交换 机 发 送 的 IGMP 报 文 的 报 文 头 
中 不 包含 Router-Alert 选项 





interface interface-type 
interface-number 

例如 : [HUAWEI]] 
interface vlanif 10 


(可 选 ) 键入 前 面 使 能 了 IGMP 功能 的 
VLANIF 或 者 Loopback 接口 ， 进 入 接 
口 视图 








igmp require-router- 
alert 

例如 : [HUAWEIl-Vlanif10] 
igmp require-router-alert 


igmp send-router-alert 
例如 : [HUAWEI-Vlanifi0] 
igmp send-router-alert 


quit 
例如 : [HUAWEI-Vianif10] 
quit 





(可 选 ) 在 以 上 接口 上 配置 丢弃 IP 报 文 
头 中 不 包含 Router-Alert 选 项 的 IGMP 消 


息 

缺 省 情况 上 下， 接口 不 对 Router-Alert 选 
项 进行 检查 ， 即 处 理 所 有 接收 到 的 
JGMP 报 文 ， 可 用 undo igmp require- 
router-alert 命令 恢复 接口 为 缺 省 配置 
(可 选 ) 在 以 上 接口 上 配置 发 送 的 
IGMP 消息 其 IP 报 文 头 中 包含 
Router-Alert 选项 

缺 省 情况 下 ， 该 接口 发 送 的 IGMP 消 
息 其 IP 报 文 头 中 包含 Router-Alert 选 
项 ， 可 用 undo igmp send-router-alert 
命令 在 接口 上 配置 发 送 的 IGMP 消息 
其 IP 报 文 头 中 不 包含 Router-Alert 选 项 


退出 接口 视图 ， 返 回 系统 视图 





igmp 
例如 ; [HUAWEI] igmp 


timer query interval 
例如 : [HUAWEI-igmp] 
timer query 125 


robust-count robust-value 
例如 ; [HUAWEI-igmp] 
robust-count 3 


max-response-time intermval 
例如 : [HUAWELigmp] 
max-response-time 15 


进入 IGMP 视图 


全 局 配置 设备 发 送 IGMP 普遍 组 查询 
报 文 的 时 间 间 隔 ， 取 值 范 围 为 1 一 
18 000 的 整数 秒 

缺 省 情况 下 ，IGMP 普遍 组 查询 消息 的 
发 送 间隔 为 60s, 可 用 undo timer query 
命令 全 局 恢复 该 配置 参数 的 缺 省 值 

全 局 配置 IGMP 查询 器 健壮 系数 ， 这 是 
用 来 水 补 可 能 发 生 的 网 络 丢 包 而 设置 的 
消息 重 传 次 数 , 取 值 范围 为 2~5 的 整数 
缺 省 情况 下 , IGMP 查询 器 的 健壮 系数 
是 2， 可 用 undo robust-count 命令 恢 
复 全 局 配置 为 缺 省 值 

全 局 配置 IGMP 查询 报 文 的 最 大 响应 
时 间 , 取 值 范围 为 1 一 25 的 整数 秒 。 主 
机 响应 时 间 越 小 , IGMP 设备 获知 组 播 
成 员 的 速度 越 快 ,但 是 网 络 带 宽 和 交换 
机 资源 的 占用 也 就 越 大 

人 缺 省 情况 下 ,1GMP 查询 报 文 的 最 大 响应 
时 间 是 10s， 可 用 undo max-response- 
time 命令 全 局 恢复 该 配置 参数 的 缺 省 值 


配置 接口 
下 Router- 
Alert 选 项 





配置 
IGMP 碍 
询 器 参数 


timer other-querier-present 
interval 

例如 : [HUAWEI-igmp] 
timer other-querier- 
present 50 


全 局 配置 其 他 IGMP 查询 器 的 存活 时 
间 ， 取 值 范围 为 60 一 300 的 整数 秒 。 
这 是 用 来 确定 查询 器 是 否 有 效 的 时 间 
参数 ， 超 时 后 本 地 交换 机 会 发 起 查询 
器 选举 

缺 省 情况 下 ,其 他 IGMP 查询 器 的 存活 
时 间 的 计算 公式 是 : 其 他 IGMP 查询 器 
的 存活 时 间 三 健壮 系数 xIJGMP 普遍 查 
询 消 息 发 送 间隔 + (1/2) x 最 大 查询 响 
应 时 间 。 当 健壮 系数 、IGMP 普遍 查询 
消息 发 送 间隔 和 最 大 查询 响应 时 间 都 
取 缺 省 值 时 ， 其 他 IGMP 查询 器 的 存活 
时 间 的 值 为 125s， 可 用 undo timer 
other-querier-present 命令 全 局 恢复 该 
配置 参数 的 缺 省 值 





lastmember-queryinterval 
interval 

例如 : [HUAWEI-igmp] 
lastmember-queryinter 
val 60 


全 局 配置 IJGMP 查询 器 在 收 到 主机 发 送 
的 IGMP Leave 报 文 时 ， 发 送 IGMP 指 
定 组 查询 报 文 的 时 间 间 隔 , 取 值 范围 为 
1 一 5 的 整数 秒 

缺 省 情况 下 , 发 送 IGMP 指定 组 查询 报 
文 的 时 间 间 隔 是 Is， 可 用 undo 
lastmember-queryinterval 命 今 全 局 恢 
复 该 配置 参数 的 缺 省 值 





quit 

例如 : [HUAWEI-igmp] 
quit 

interface interface-type 
interface-mumber 

例如 : [HUAWEH 
interface vlanif 10 


退出 IGMP 视图 ， 返 回 系统 视图 


(可 选 ) 键入 要 配置 IGMP 查询 器 参数 
的 VLANIF 或 者 Loopback 接口 (当然 
该 接口 必须 已 使 能 IGMP)， 进 入 接口 
视图 





igmp timer query interval 
例如 : [HUAWEI-Vlanif10] 
igmp timer query 120 


igmp robust-count 
robust-value 

例如 : [HUAWEI-Vlanif10] 
igmp robust-count 3 


(可 选 ) 在 接口 上 配置 设备 发 送 IGMP 

普遍 组 查询 报 文 的 时 间 间 隔 ， 取 值 范围 

为 1 一 18 000 的 整数 秒 

缺 省 情况 下 ，IGMP 普遍 组 查询 消息 的 

发 送 间隔 是 60s, 可 用 undo igmp timer 
命令 恢复 为 缺 省 值 

(可 选 ) 在 接口 上 配置 IGMP 查询 器 

的 健壮 系数 ， 取 值 范围 为 2 一 5 的 整 

数 

缺 省 情况 下 ，IGMP 查询 器 的 健壮 系数 

是 2， 可 用 undo igmp robust-count 命 

令 恢 复 为 缺 省 值 





igmp max-response-time 
interval 

例如 : [HUAWEI-Vlanif10] 
igmp max-response-time 
20 


(可 选 ) 在 接口 上 配置 IGMP 查询 报 文 
的 最 大 响应 时 间 ， 取 值 范 围 为 1 一 25 的 
整数 秒 

缺 省 情况 下 ，IGMP 查询 报 文 的 最 大 响 
应 时 间 是 10s， 可 用 undo igmp max- 
response-time 命令 恢复 接口 上 该 配置 
参数 的 缺 省 值 





(可 选 ) 在 接口 上 配置 其 他 IGMP 查询 器 

imp timer other-querier- | 的 存活 时 间 ， 取 值 范围 为 60 一 300 的 凉 

present interval 数秒 

例如 : [HUAWEI-Vlanif10] | 缺 省 情况 下 的 配置 与 前 面 的 timer 

广 mp timer other-querier- | other-querier-present 的 缺 省 情况 一 样 ， 

present 100 可 用 undo igmp timer other- | ww 
querier-present 命令 恢复 为 缺 省 值 | 本 下 入 人 
(可 选 ) 在 接口 上 IGMP 查询 器 在 收 到 主 | 查询 器 参 
机 发 送 的 IGMP Leave 报 文 时 ， 发 送 | 数 

IGMP 最 后 组 成 员 查 询 报 文 的 时 间 间 

隔 ， 取 值 范 围 为 1 一 5s 

缺 省 情况 下 ， 发 送 IGMP 最 后 组 成 员 查 

询 报 文 的 时 间 间 隔 是 ls， 可 用 undo 

igmp lastmember-queryinteryal 命令 恢 
复 为 缺 省 值 


座 mp lastmember- 
queryinterval interval 
例如 : [HUAWEI-Vlanif10] 
igmp lastmember- 
queryinterval 3 








quit 
例如 : [HUAWEI-Vlanif10] | 退出 接口 视图 ， 返 回 系统 视图 
quit 


igmp 
例如 : [HUAWEI] igmp | 进 ^ IGMP 视图 


配置 IGMP 快速 离开 ， 当 组 播 设 备 接收 
到 针对 某 组 播 组 的 离开 消息 时 ， 不 发 送 
最 后 组 成 员 查询 消息 ， 立 即 删除 该 组 记 
录 。 参 数 acl-number 用 来 指定 要 配置 离 
开 策略 的 ACL 编号 ， 在 S2700/3700 系 
列 交 换 机 中 仅 支 持 基本 ACL, 取 值 范围 | 配 党 全局 
为 2000 一 2 999 的 整数 ， 其 他 S 系列 同 | 的 IGMP 
Lovonp -polley 时 支持 基本 ACL 和 高 级 ACL ( 取 值 范 | 快速 离开 
EE ， 则 对 所 有 的 组 播 组 都 执行 立即 离开 
例如 [HUAWELigmp] | 在 定义 ACL 规则 时 ， 通 过 permit 参数 
en 8roup- | 仅 允许 接口 下 成 员 主机 快速 离开 指定 地 
©y 址 范围 的 组 播 组 。 如果 ACL 未 定义 规 
则 ， 则 禁止 接口 下 成 员 主机 快速 离开 所 
有 组 播 组 
缺 省 情况 下 ，IGMP 在 接收 到 主机 发 送 
的 离开 消息 后 发 送 最 后 组 成 员 查 询 消 
息 ， 可 用 undo prompt-leave 命令 企 局 
取消 快速 离开 组 机 制 


quit 
四 例如 : [HUAWEI-igmp] | 退出 IGMP 视图 ， 返 回 系统 视图 
quit 


interface interface-type 三 村 es . 的 IGMP 
eee ember (可 选 ) 键 入 要 配置 IGMP 查询 器 参数 的 | 快速 离开 


VLAN 或 者 Loopback 接口 (当然 该 接 
全 加 :DHUAWEN 口 必 须 已 使 能 1GMP)， 进 入 接口 视图 
interface vlanif 10 


prompt-leave 
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Rp 
口 接收 到 针对 某 组 播 组 的 Leave 报 文 时 ， 
lymn prompt aye 不 发 送 特定 查询 报 文 ， 立 即 删 除 该 组 记 
[group-policyactmumber ] | 录 。 其 他 说 明 参 见 上 面 的 第 24 步 
例如 [HUAWEI-Vianifl0] | 缺 省 情况 下 ,1GMP 查询 器 在 接收 到 主机 
igmp prompt-leave pe ” be 
liey 2010 发 送 的 Leave 报 文 后 发 送 特定 组 查询 报 
人 文 ， 可 用 undo igmp prompt- leave 命令 
在 接口 上 取消 快速 离开 组 机 制 
(可 选 ) 在 以 上 接口 上 配置 IGMP on-demand 功能 , 使 接 
口上 动态 加 入 的 组 播 组 永 不 超时 使 用 igmp 
on-demand 命令 后 ,与 IGMP 标准 协议 行为 有 3 点 不 同 。 
igmp on-demand (1) 接口 不 发 送 IGMP 查询 报 文 
例如 : [HUAWELVIanifl0] | (2) 接口 上 动态 加 入 组 播 组 后 ， 创 建 的 表 项 水 不 超时 
igmp on-demand (3) 接口 收 到 IGMP Leave 报 文 后 , 会 立即 删除 接 唱 
上 相应 的 IJGMP 组 记录 
和 缺 省 情况 下 ， 接 口上 动态 加 入 的 组 播 组 定时 老化 ， 
可 使 用 undo igmp on-demand 命令 恢复 缺 省 配置 
(可 选 ) 在 以 上 接口 上 配置 IGMP Query 报 文 源 地 址 
过 滤 策 略 。 参数 basic-acl-number|acl-name 
acl-name } 用 米 指 定 用 于 创建 过 滤 策 略 的 数字 型 
ACL 或 命名 型 ACL (但 仅 支 持 基 本 ACL )。 在 定义 
ACL 规则 时 ,通过 permit 参数 配置 接口 仅 接收 指定 
igmp query ip-source- 源 地 址 范围 的 Query 报 文 ， 如 果 ACL 未 定义 规则 ， 
policy { pasic-aci-munber| | 则 接口 缺 省 过 滤 掉 所 有 源 地 址 范围 的 Query 报 文 
aclname acl-name } 【说 明 】IGMP Query 源 地 址 过 滤 是 一 种 安全 策略 ， 
例如 :[HUAWELVIanifl0] | 可 避免 恶意 设备 伪造 IP 地 址 相对 较 小 的 IGMP 
igmp query ip-source- Query 报 文 ， 使 真正 的 查 词 器 失效 ， 无 法 响应 组 成 
policy 2001 员 快 速 离开 ， 造 成 流量 浪费 。 配 置 此 功能 后 ， 设 备 
只 接收 源 地 址 局 于 ACL 过 滤 规 则 范围 内 的 IGMP 
Query 报 文 ， 从 而 控制 查询 器 的 选举 
缺 省 情况 下 ， 交 换 机 不 对 Query 报 文 进行 过 滤 ， 即 
处 理 所 有 接收 到 的 Query 报 文 ， 可 用 undo igmp 
query ip-source-policy 命令 恢复 缺 省 配 管 
配置 根据 (可 选 ) 在 以 上 接口 上 配置 设备 根据 源 地 址 对 
源 地 址 过 ReporULeave IGMP 报 文 进行 过 滤 ， 人 参数 { pasic- 
源 地 址 3 acl-number | acl-name acl-name } 用 来 指定 用 于 创建 
过 滤 策 略 的 数字 型 ACL 或 命名 型 ACL 〈 但 仅 支持 
基本 ACL) 
【说 明 】Report/Leave 报 文 封装 在 IP 报 文中 , 配置 了 
本 命令 后 ， 设 备 会 检查 封装 了 IGMP ReportLeave 
报 文 的 [P 报 文 头 中 的 源 地 址 。 在 定义 ACL 规则 时 ， 
igmp ip-source-policy 通过 permit 参数 配置 接口 仅 接收 指定 源 地 址 范围 的 
[ basic-acl-number ] Report/Leave 报 文 。 如 果 ACL 未 定义 规则 ， 则 接口 
例如 : [HUAWEI-Vlanif10] | 热 省 过 滤 述 所 有 源 地 址 范 国 的 ReporULeave 报 文 。 
igmp ip-source-policy 如 果 不 配置 ACL 参 就 ，IGMP ReportLeave 报 文 源 
2001 地 址 的 过 滤 规 则 如 下 。 
(1) 如 果 源 地 址 和 接收 报 文 的 接口 地 址 在 同一 网 段 ， 
或 者 源 地 址 是 0.0.0.0， 正 常 处 理 该 报 文 
(2) 如 果 源 地 址 和 接收 报 文 的 接口 地 址 不 在 同一 网 
段 ， 则 等 弃 该 报 文 
缺 省 情况 下 ， 交 换 机 不 对 Report/Leave 报 文 进行 过 
滤 ， 即 处 理 所 有 接收 到 的 ReporVLeave 报 文 ， 可 用 
undo igmp ip-source-policy 命令 取消 对 IGMP 报 文 
源 地 址 的 过 滤 











13.1.4 配置 IGMP SSM Mapping 





在 SSM 模 型 PIM-SM 组 播 网 络 中 ， 要 求 组 播 设 备 接 口 运行 IGMPv3， 但 某 些 组 播 用 户主 机 只 能 运行 
IGMPv1 或 IGMPv2。 为 了 向 这 些 用 户 同 样 提 供 SSM 服 务 ， 需 要 在 组 播 设 备 上 配置 SSM Mapping 静 态 映射 功 
能 。 

SSM Mapping 是 通过 给 SSM 组 播 组 地 址 映射 一 个 或 多 个 组 播 源 地 址 ， 将 IGMPv1 或 IGMPv2 Report 报 文 
中 (*，G) 信息 转换 为 一 组 (S，G) 信息 来 实现 SSM 服 务 的 。 缺 省 情况 下 ，SSM 组 地 址 范围 为 232.0.0.0 一 
232.255.255.255， 但 可 通过 配置 来 扩展 SSM 组 地 址 范围 ， 有 具体 将 在 本 章 后 面 介 绍 。 配 置 SSM Mapping 的 具体 
步骤 如 表 13-4 所 示 。 














表 13-4 SSM Mapping 的 配置 步 又 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





igmp 
例如 ; [HUAWEI igmp 


进入 IGMP 视图 





ssm-mapping group-address 

{ group-mask | group-mask-length } 
source-address 

例如 : [HUAWEI-igmp] 
ssm-mapping 224.0.5.5 

24 10.10.10.1 


配置 静态 SSM 源 组 映射 规则 。 命 令 中 的 参数 说 明 如 下 。 
(1) group-address: 指定 要 映射 的 组 播 组 IP 地 址 ， 取 值 
范围 是 224.0.1.0 一 239.255.255.255 

(2) group-mask: 二 选 一 参数 ， 指 定 组 播 组 IP 地 址 的 子 
网 掩 码 

(3) group-mask-length: 
的 子 网 拖 码 长 度 

(4) source-address: 指定 要 与 以 上 组 播 组 IP 地 址 进行 映 
射 的 组 播 源 全 地址， 是 单 播 全 地址 

缺 省 情况 下 ， 未 配置 SSM 映射 规则 ， 可 用 undo 
ssm-mapping { group-address { mask | mask-length } 
[source-address ] | static all } 命 令 删 除 指定 的 静态 SSM 源 
组 映射 规则 ， 但 尽量 不 要 使 用 all 选项 ， 因 为 这 样 会 将 所 
有 配置 的 SSM 映射 规则 都 清除 


- 选 一 参数 ,指定 组 播 组 P 地 址 





quit 
例如 : [HUAWEI-igmp] quit 


退出 IGMP 视图 ， 返 回 系统 视图 





interface interface-type 
interface-number 

例如 ; [HUAWEI] interface 
vlanif 10 


(可 选 ) 键入 要 配置 IGMP 查询 器 参数 的 VLAN 或 者 
Loopback 接口 (当然 该 接口 必须 已 使 能 IGMP)， 进 入 接 
口 视图 





13.1.5 配置 IGMP Limit 

















IGMP Limit 提 供 了 对 组 成 员 关 系 的 个 数 限制 功能 。 配 置 了 组 成 员 关 系 个 数 限制 功能 后 ， 当 收 到 IGMP 报 


文 时 ， 首 先 判断 是 否 超过 配置 的 个 数 限 制 ， 如 果 没 有 超过 就 建立 组 成 员 关 系 ， 给 用 户 转 发 该 组 的 数据 流 。 





igmp ssm-mapping enable 

例 如 : [HUAWEI-Vlanif10] 
igmp 

ssm-mapping enable 








组 成 员 关 系 的 计数 规则 如 下 。 
(1) 每 个 (*，G) 组 成 员 关 系 计 为 一 个 表 项 。 
(2) 每 个 (S，G) 源 组 成 员 关 系 计 为 一 个 表 项 。 


(3) 使 用 SSM Mapping 的 每 个 〈*，G) 组 成 员 关 系 计 为 一 个 表 项 ， 按 照 映 射 生成 的 《S，G) 表 项 不 














进行 计数 。 








IGMP Limit 功 能 可 以 在 全 局 或 者 




















具体 IGMP 接 口上 配置 ， 


(可 选 ) 在 以 上 接口 上 使 能 SSM Mapping 功能 。 只 有 在 接 
口上 使 能 SSM Mapping, 配置 的 SSM 源 / 组 地 址 映射 表 项 
才能 生效 

缺 省 情况 下 ， 接 口 未 使 能 SSM Mapping， 可 使 用 undo 
igmp ssm-mapping enable 命令 恢复 缺 省 的 去 使 能 状态 



































表 13-5 IGMP Limit 配 置 步骤 

















具体 配置 步 又 如 表 13-5 所 示 。 






system-view 
例如 : <HUAWEI> system-view 





进入 系统 视图 












igmp global limit number 
例如 : [HUAWEI] igmp global 
limit 100 


it 


全 局 配置 IGMP 组 成 员 关 系 个 数 限制 ， 取 值 范 围 为 1 一 
2 048 的 整数 (S7700/9300/9300E/9700 系列 的 取 值 范围 为 
1~49 512) 

缺 省 情况 下 ， 整 个 交换 机 上 可 以 创建 的 所 有 IGMP 表 项 
的 最 大 个 数 为 2048 (S7700/9300/9300E/9700 系列 的 最 大 
个 数 为 16 384), 可 用 undo igmp global limit 命令 取消 整 
个 交换 机 上 IGMP 表 项 总 和 的 最 大 个 数 限 制 

【说 明 】 在 IGMP 视图 下 执行 limit number 命令 也 可 配置 
全 局 IGMP 组 成 员 关 系 个 数 限制 。 如 果 同 时 配置 ， 较 小 
的 取 值 生效 















interface interface-type 
interface-number 






(可 选 ) 键入 要 配置 IGMP Limit 功能 的 VLAN 或 者 





3 例如 : [HUAWEI] interface Troopbpek 接口 (当然 该 接口 必须 已 使 能 IGMP)， 进 入 接 
vlanif 10 口 视图 
(可 选 ) 配置 当前 接口 上 能 够 创建 的 组 成 员 关系 个 数 限 
制 。 命令 中 的 参数 说 明 如 下 。 
(1) number: 指定 当前 接口 可 以 创建 的 IGMP 表 项 最 大 
值 , 取 值 范围 为 1 一 2 048 的 整数 (S7700/9300/9300E/9700 
系列 的 取 值 范围 为 1 一 16 384) 
(2 ) except acl-number: 可 选 参数 , 指定 不 受 number 参 
igmp limit mumber [ except 数 限制 的 组 播 组 范围 ， 是 通过 ACL 定义 的 。 只 对 组 地 
和 acl-number ] 址 进行 过 滤 ， 则 可 使 用 基本 ACL， 如 果 对 (S，G) 源 


例如 : [HUAWEI-Vlanifl0] igmp 
limit 100 except 2001 





13.1.6 IGMP 管 理 


配置 好 IGMP 功 能 后 ， 可 以 通过 以 下 display 任 意 视 图 命令 查看 相关 IGMP 信 息 ， 通 过 reset 用 





除 相 关 IGMP 统 计 信 息 。 



























组 关系 进行 过 滤 ， 则 要 使 用 高 级 ACL。 如 果 没 有 使 用 
本 参数 ， 则 动态 创建 的 所 有 组 或 源 组 时 都 受 IGMP 表 
项 最 大 个 数 的 限制 ;如果 使 用 本 参数 ， 则 先 要 配置 相 
应 的 ACL, 接 口 将 按照 该 ACL 过 滤 收 到 的 IGMP Report 
报 文 

缺 省 情况 下 ， 整 个 交换 机 上 可 以 创建 的 所 有 IGMP 表 项 
的 最 大 个 数 为 2 048, 可 用 undo igmp limit 命令 删除 当前 





接口 可 以 维护 IGMP 组 成 员 关 系 的 最 大 个 数 限制 























户 视图 





个 人 
命令 


; 


(1) 使 用 display igmp interface [ interface-type interface-number |up |down ] [verbose ] 命令 查看 指定 接口 
或 者 状态 为 Up 或 者 Down 的 IGMP 接 口上 的 详细 信息 (选择 verbose 可 选项 时 ) 或 摘要 IGMP 配 置 和 运行 信息 。 














(2) 使 用 display igmp group [group-address | interface interface-type interface-number ] * [ verbose ] 命令 查 











看 指定 组 播 组 或 (和 ) 指定 IGMP 接 口上 动态 加 入 的 IGMP 组 播 组 成 员 信息 。 
(3) 使 用 以 下 命令 查看 静态 IGMP 组 播 组 的 成 员 信息 。 
Q@ display igmpgroup [group-address ] static [up |down ] [verbose ] 命令 查看 状态 为 Up 或 Down 的 IGMP 接 口 




















的 详细 (选择 verbose 可 选项 时 ) 或 摘要 信息 。 





























@ display igmpgroup [group-address ] static interface-number 命令 查看 指定 或 所 有 IGMP 静 态 组 播 组 加 入 


的 接口 数量 。 











G@) display igmp group static interface interface-type interface-number entry-number 命 令 查 看 指定 IGMP 接 口 


加 入 的 IGMP 静 态 组 播 组 或 源 组 数量 。 














wt 








(4) 执行 display igmp group [group-address | interface interface-type interface-number ] * [ static ] [verbose ] 
命令 查看 指定 组 播 组 或 (和) 指定 IGMP 接 口上 的 IGMP 组 播 组 成 员 信 息 。 
(5) 使 用 display igmp control-message counters [ interface interface-type interface- number ] [message-type 
{query | report } ] 命令 查看 指定 或 者 所 有 IGMP 接口 上 的 IGMP 报 文 统计 计数 。 
(6) 执行 display igmp routing-table [group-address [mask {group-mask |group-mask- length } ] | source- 


























address [mask { source-mask |source-mask-length } ] ] * [ static ] [outgoing- interface-number [ number ] ] 命令 查 


























看 指定 单个 或 一 个 范围 的 组 播 组 的 IGMP 路 由 表 信 息 。 但 只 有 当 接 口上 只 运行 了 IGMP (没有 运行 PIM) ， 
且 接 口 为 IGMP 查 询 器 的 情况 下 才 会 生成 IGMP 路 由 表 项 。 
(7) 使 用 display igmpgroup [group-address | interface interface-type interface-number ] *ssm-mapping 
[verbose ] 命令 查看 指定 组 播 组 或 《和 ) 指定 IGMP 接 口 ] 
时 ) 或 者 摘要 组 播 组 信息 。 
(8) 使 用 display igmp ssm-mapping {group [group-address ] | interface [ interface-type interface-number ] } 
命令 查看 指定 组 播 组 或 指定 IGMP 接口 上 配置 的 映射 关系 及 SSM Mapping 运 行 状 态 。 


(9) 使 用 reset igmpgroup {all | interface interface-type interface-number {all |group- address [mask { group- 






































mask |group-mask-length } ] [ source-address [mask { source-mask |source-mask-length } ] ] } 月 









































站 定 IGMP 接 口 或 所 有 接口 上 加 入 的 指定 范围 或 者 所 有 动 











(10) 使 ) 








}number group-number ] [ source source-address ] } 接 


加 入 的 组 播 组 。 





jundo igmp static-group {all | group-address 











13.1.7 IGMP 基 本 功能 配置 示例 





本 示例 拓扑 结构 如 图 13-1 所 示 ， 在 主机 侧 存在 两 个 3 
N2 中 的 组 播 组 成 员 。 网 络 中 传播 组 播 数 扩 











上 配置 的 映射 规则 中 的 详细 (选择 verbose 可 选项 





j 户 视图 命令 清除 









































态 加 入 的 组 播 组 。 


[ inc-step-mask { group-mask |group-mask-length 














口 视图 命令 清除 对 应 IGMP 接 口上 指定 范围 或 者 所 有 静态 

















机 网 段 N1 和 N2，HostA 和 HostC 分 别 为 N1 和 











买 了 组 225.1.1.1 对 应 的 节目 ，HostC 则 没有 限制 。 
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图 13-1 IGMP 的 基本 功能 








1. 基本 配置 思路 分 析 
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从 图 中 的 网 








PIM 协 议 ， 所 以 本 示例 同时 涉及 IGMP 和 PIM 两 种 组 播 世 














思路 。 



















明 使 用 的 组 播 组 地 址 为 225.1.1.1 一 225.1.1.5， 组 播 组 成 员 HostA 只 购 
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GEOO/ Receiver 


2.2124 N2 “HostC 


ANIF20. a | 


下 HostD 








放置 示例 拓扑 结构 








络 结构 可 以 看 出 ， 本 示例 不 仅 涉及 本 章 前 面 介 绍 的 IGMP 协 议 ， 还 涉及 本 章 后 面 要 介绍 的 











h 议 的 基本 PIM 功 能 配置 。 下 




















四 是 本 示例 的 基本 配置 












































(1) 配置 网 络 中 的 单 播 路 由 协议 “如 可 采用 单 播 静态 路 由 、RIP、OSPF 之 类 的 动态 路 由 等 ， 实 现 网 
实现 这 一 步 ， 需 要 在 各 Switch 的 接口 配置 IP 地 址 和 单 播 路 由 协议 。 单 播 路 由 正常 是 组 播 路 





络 层 互 通 。 为 了 
协议 正常 工作 

































































的 基础 。 本 示例 不 作 具 体 介绍 。 









































定 RP， 以 实现 组 











播 数据 可 以 在 网 络 中 转发 。 



























































(2) 配置 基本 组 播 功能 : 全 局 使 能 组 播 路 由 功能 ， 在 与 组 播 组 成 员 连 接 的 接口 上 使 能 PIM 和 IGMP， 指 


























(3) 通过 ACL 配置 对 HostA 能 接收 的 组 播 数 据 进行 过 滤 ， 以 实现 示例 中 对 HostA 接 收 的 组 播 数据 进 
行 限 制 。 
2. 有 具体 配置 步骤 
下 面 是 本 示例 的 具体 配置 步骤 。 
(1) 配置 各 Switch 接口 卫 地 址 和 单 播 路 由 协议 。 
按照 图 13-1 配 置 各 VLAN 接 口 的 IP 地 址 和 掩 码 ， 并 配置 各 Switch 之 间 采 用 OSPF 进 行 互 连 ， 确 保 网 络 中 各 
Switch 间 能 够 在 网 络 层 互通 。 具 体 配 置 过 程 略 。 
(2) 全 局 使 能 组 播 路 由 功能 ， 在 各 组 播 交 换 机 的 所 有 接口 上 使 能 PIM-SM 功 能 (需要 先 把 物理 接口 加 
入 到 对 应 的 VLAN 中 ) ， 并 配置 以 SwitchD 的 VLANIF40 为 静态 RP。 因 为 SwitchA、SwitchB、SwitchC 和 
SwitchD 上 的 配置 方法 一 样 ， 所 以 下 面 仅 以 SwitchA 为 例 进行 介绍 。 
[SwitchA] vlan batch 10 11 
[SwitchA] interface gigabitethernet 0/0/1 
[SwitchA -GigabitEthernet0/0/1] port link-type access 
[SwitchA -GigabitEthernet0/0/1] port default vlan 10 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA -GigabitEthernet0/0/2] port link-type access 
[SwitchA -GigabitEthernet0/0/2] port default vlan 12 
[SwitchA -GigabitEthernet0/0/2] quit 
[SwitchA] multicast routing-enable #--- 全 局 使 能 组 播 路 由 功能 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] pim sm #--- 在 VLAN10 接 口上 (相当 于 在 GE0/0/1 接 口上 〉 启用 PIM-SM 
[SwitchA-Vlanif10] quit 
[SwitchA| interfacevlanif 11 
[SwitchA-Vlanif11] pim sm 
[SwitchA-Vlanif11] guit 
[SwitchA] pim 
[SwitchA-pim] static-rp 192.168.4.1 #--- 配 置 SwitchD 的 GE0/0/4 接 口 为 静态 RP 
[SwitchA-pim] quit 
(3) 在 SwitchA、SwitchB、SwitchC 组 播 组 成 员 侧 接口 上 使 能 IGMP 功 能 。 现 也 仅 以 SwitchA 的 配置 为 
例 进行 介绍 ，SwitchB 和 SwitchC 上 的 配置 过 程 与 此 类 似 ， 配 置 过 程 略 。 
[SwitchA] interface vlanif 10 
[SwitchA-Vlanif10] igmp enable 
[SwitchA-Vlanif10] quit 
(4) 通过 IGMP 报 文 过 滤 功 能 配置 SwitchA 的 VLANIF10 接口 只 能 加 入 组 播 组 225.1.1.1。 要 先 创 建 一 
个 允许 以 组 播 组 地 址 225.1.1.1 为 源 地 址 报 文通 过 的 基本 ACL， 然 后 在 SwitchA 的 VLANIF10 接 口上 应 用 该 策 
略 。 
[SwitchA] acl number 2001 
[SwitchA-acl-basic-2001] rule permit source 225.1.1.1 0 
[SwitchA-acl-basic-2001] quit 
[SwitchA] interface vlanif 10 
















































































































































































































































































































































































[SwitchA-Vlanif10] igmp group-policy 2001 
[SwitchA-Vlanif10] quit 













































































果 。 以 下 是 SwitchA 的 VLANIF10 接 口上 IGMP 的 显示 信息 。 从 中 可 以 看 出 其 基本 配 
略 。 


<SwitchA>display igmp interface vlanif 10 




















Interface information 

Vlanif 10(10.110.1.1): 
IGMP is enabled 
Current IGMP version is 2 
IGMP state: up 
IGMP group policy: 2001 
IGMP limit: - 
Value of query interval for IGMP (negotiated): - 
Value of query interval for IGMP (configured): 60 s 
Value of other querier timeout for IGMP: 0s 
Value of maximum query response time for IGMP: 10 s 
Querier for IGMP: 10.110.1.1 (this router) 

Total 1 IGMP Group reported 








13.1.8 静态 加 入 组 播 组 配置 示例 





























配置 好 后 ， 可 以 通过 display igmp interface 命 令 碍 看 各 接口 上 IGMP 的 配置 和 运行 情况 ， 以 验证 配置 结 














， 以 及 所 应 用 的 组 策 








本 示例 拓扑 结构 如 图 13-2 所 示 ， 在 主机 侧 存 在 两 个 主机 网 段 N1 和 N2，N1 中 有 一 个 组 播 组 成 员 HostA， 
N2 中 有 HostC 和 HostD 两 个 组 播 组 成 员 。 现 希望 HostA 长 期 稳定 地 接收 组 播 组 225.1.1.3 的 数据 ，HostC 和 




















HostD 对 所 接收 的 组 播 组 数据 没有 要 求 。 
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图 13-2 静态 加 入 组 播 配 置 示例 拓扑 结构 











本 示例 与 上 节 介 绍 的 配置 示例 差不多 ， 唯 一 不 同 的 是 上 节 示 例 介绍 的 是 通过 IGMP 报 文 过滤 方 式 来 限定 


HostA 主 机 加 入 的 组 播 组 ， 而 本 示例 介绍 的 是 要 求 HostA 接 收 主机 静态 加 入 组 播 组 225.1.1.3。 
正 因 如 此 ， 本 示例 的 其 他 配置 均 可 参见 上 节 介 绍 ， 在 此 仅 介 绍 HostA 主 机 静态 加 入 组 播 组 225.1.1.3 的 配 









































置 方法 。 有 具体 如 下 。 
[SwitchA] interfacevlanif 10 











[SwitchA-Vlanif10] igmp static-group 225.1.1.3”#--- 静 态 加 入 到 IP 地址 为 225.1.1.3 的 组 播 组 r 


[SwitchA-Vlanif10] quit 








结 
本 igmp group static 
Static join group information 
Total 1 entry, Total 1 active entry 
Group Address Source Address Interface State “EXpires 
225.1.1.3 0.0.0.0 Vlanif10 UP never 











13.1.9 IGMP SSM Mapping 配 置 示 例 



































全 部 配置 好 后 ， 可 以 通过 使 用 display igmp group static 命 令 查看 接口 上 静态 加 入 的 组 播 组 ， 以 验证 配置 


本 示例 拓扑 结构 如 图 13-3 所 示 ， 同 时 采用 ASM 和 SSM 模 式 提供 组 播 服 务 。 由 于 与 组 播 组 成 员 相 连 的 








Switch 接 口上 运行 IGMPv3， 组 播 组 成 员 主 机 上 运行 的 是 IGMPv2， 且 不 能 升级 到 IGMPv3， 因 此 ， 该 主机 在 


加 入 组 播 组 时 无 法 指定 组 播 源 ， 必 须 依 靠 SSM Mapping 来 实现 。 
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发 送 组 播 数据 ， 而 组 播 组 成 员 只 想 接收 来 自 Sourcel 和 Source3 的 组 播 数据 。 
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图 13-3 SSM Mapping 配 置 示 例 拓 扑 结构 








1. 基本 配置 思路 分 析 


























当前 网 络 中 的 SSM 组 播 组 地 址 范围 是 232.1.1.0/24，Source1、Source2 和 Source3 都 向 该 范围 内 的 组 播 组 














本 示例 有 两 项 基本 要 求 : 一 是 通过 SSM Mapping 实 现 运行 IGMPv2 的 组 播 组 成 员 可 以 使 用 SSM 服 务 ， 二 
是 通过 SSM Mapping 的 组 播 组 和 组 播 源 映射 功能 ， 使 组 播 组 成 员 仅 可 接收 特定 的 指定 源 组 播 组 数据 。 当 
































然 ， 首 先 要 进行 的 也 是 一 个 基本 组 播 网 络 的 基本 功能 配置 ， 如 各 交换 机 接口 上 的 PIM-SM 
间 定 相同 的 RP， 以 及 与 组 播 组 成 员 连 接 的 交换 机 接口 上 的 IGMP 功 能 。 
2. 具体 配置 步骤 
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(1) 配置 IP 地 址 和 单 播 路 由 协议 。 按 照 图 13-3 标 注 配 置 各 VLAN 接 口 的 IP 地 址 和 掩 码 ， 






























































之 间 采 用 OSPF 进 行 互 连 ， 确 保 网 络 中 各 Switch 间 能 够 在 网 络 层 互通 。 有 具体 配置 过 程 略 。 







































































功能 的 使 能 ， 并 





并 配置 各 Switch 





(2) 在 SwitchD 上 全 局 使 能 组 播 路 由 功能 ， 并 在 各 VLAN 接 口上 配置 PIM-SM， 并 在 主机 侧 VLANIF13 








接口 上 配置 运行 IGMPv3。 


[SwitchD] multicast routing-enable 


[SwitchD] interface vlanif 13 
[SwitchD-Vlanif13] pim sm 
[SwitchD-Vlanif13] igmp enable 


[SwitchD-Vlanif13] igmp version 3 


[SwitchD-Vlanif13] quit 
[SwitchD] interface vlanif 21 
[SwitchD-Vlanif21] pim sm 
[SwitchD-Vlanif21] quit 
[SwitchD] interfacevlanif 30 
[SwitchD-Vlanif30] pim sm 
[SwitchD-Vlanif30] quit 














(3) 在 SwitchA、SwitchB 和 SwitchC 上 全 局 使 能 组 播 路 由 功能 ， 并 在 各 VLAN 接 口上 使 能 PIM-SM。 








它们 的 配置 基本 一 样 ， 所 以 下 面 仅 
置 过程 略 。 












































以 SwitchA 为 例 进 行 介 绍 ， 


[SwitchA] multicast routing-enable 


[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] pim sm 
[SwitchA-Vlanif10] quit 
[SwitchA] interface vlanif 20 
[SwitchA-Vlanif20] pim sm 
[SwitchA-Vlanif20] quit 
[SwitchA] interfacevlanif 30 
[SwitchA-Vlanif30] pim sm 
[SwitchA-Vlanif30] quit 























SwitchbB 和 SwitchC 的 配置 方法 参见 即 可 ， 配 





























(4) 在 SwitchD 上 配置 VLANIF30 为 CBSR 和 C-RP。 因 为 本 网 络 中 只 配置 了 一 个 C-BSR 和 一 个 C-RP， 
所 以 VLANIF30 最 终 会 直接 成 为 BSR 和 RP。 




















[SwitchD] pim 
[SwitchD-pim] c-bsrvlanif 30 
[SwitchD-pim] c-rp vlanif 30 
[SwitchD-pim] quit 

(5) 在 SwitchD 的 VLANIF13. 
[SwitchD] interfacevlanif 13 

















上 使 能 SSM Mapping 功 能 。 


[SwitchD-Vlanif13] igmp ssm-mapping enable 


[SwitchD-Vlanif13] quit 
(6) 在 所 有 Switch 上 配置 SS 























SwitchC 和 SwitchD 上 的 配置 方法 一 样 ， 所 以 下 面 仅 SwitchA 的 配置 为 例 进行 介绍 。 

















[SwitchA] acl number 2000 


M 组 播 组 地 址 范围 ， 以 限定 组 播 数据 的 发 送 。 





















































[SwitchA-acl-basic-2000] rule permit source232.1.1.0 0.0.0.255 








大 








为 SwitchA、SwitchB、 


[SwitchA-acl-basic-2000] quit 

[SwitchA] pim 

[SwitchA-pim] ssm-policy 2000 

[SwitchA-pim] quit 

(7) 在 连接 主机 的 Switch 上 配置 SSM Mapping 映 射 规则 ， 将 232.1.1.0/24 范 围 内 的 组 播 组 映射 到 组 播 源 

Source1 和 Source3 上 ， 以 实现 组 播 组 成 员 接收 到 Source1 和 Source3 发 来 的 组 播 数据 。 

[SwitchD] igmp 

[SwitchD-igmp] ssm-mapping 232.1.1.0 24 10.10.1.1 

[SwitchD-igmp] ssm-mapping 232.1.1.0 24 10.10.3.1 




















[SwitchD-igmp] quit 
配置 好 后 ， 可 通过 display igmp ssm-mapping group 命 令 查 看 Switch 上 源 和 组 的 映射 关系 ， 以 验证 配置 结 







































































<SwitchD>display igmp ssm-mapping group 

IGMP SSM-Mapping conversion table 

Total 2 entries 2 entries matched 

00001. (10.10.1.1 232.1.1.0/24) 

00002. (10.10.3.1 232.1.1.0/24) 

Total 2 entries matched 

还 使 用 display igmp group ssm-mapping 命 令 查 看 Switch 特定 源 /组 地 址 的 信息 。SwitchD 上 特定 源 / 组 地 址 
信息 显示 如 下 ， 从 中 可 以 看 出 组 播 组 成 员 已 加 入 到 组 232.1.1.1! 

<SwitchD>display igmp group ssm-mapping 
































IGMP SSM mapping interface group report information 
Limited entry of this VPN-Instance: - 

Vlanif13 (10.10.4.2): 

Total 1 IGMP SSM-Mapping Group reported 

Group Address Last Reporter Uptime Expires 
232.1.1.1 10.10.4.1 00:01:44 00:00:26 


13.1.10 IGMP Limit 配 置 示 例 














本 示例 拓扑 结构 如 图 13-2 所 示 ， 该 网 络 中 的 用 户主 机 通过 组 播 方式 接收 视频 节目 。 现 假设 与 SwitchA 相 
连 网 段 的 HostA 上 订购 了 一 个 长 期 的 组 地 址 为 225.1.1.3 的 节目 ， 要 求 当 网 络 中 的 用 户主 机 点 播 的 节目 数量 达 
到 限制 值 时 不 允许 再 点 播 新 的 节目 ， 保 证 用 户 已 订购 节目 的 接收 质量 。 

1. 基本 配置 思路 分 析 

本 示例 有 两 项 主要 配置 。 

(1) 为 组 播 组 成 员 HostA 配 置 静态 加 入 组 播 组 225.1.1.3， 使 该 用 户 能 长 期 接收 发 往 组 播 组 225.1.1.3 的 数 






































































































































































































































(2) 采用 IGMP Limit 功 能 来 限制 连接 订购 节目 的 用 户 的 交换 机 上 配置 的 组 成 员 关 系数 量 ， 以 保证 用 户 
已 订购 节目 的 接收 质量 。 
其 他 的 组 播 网 络 基本 功能 配置 与 13.1.7 节 介绍 的 示例 差不多 。 

2. 有 具体 配置 步骤 




























































































(1) 配置 各 Switch 接 口 JP 地 址 和 单 播 路 由 协议 。 按 照 图 13-4 中 的 标注 ， 配 置 各 VLAN 接 口 的 IP 地 址 和 掩 
码 ， 并 配置 各 Switch 之 间 采 用 OSPF 进 行 互 连 ， 确 保 网 络 中 各 Switch 间 能 够 在 网 络 层 互通 。 有 具体 配置 过 程 
略 。 






















































































(2) 全 局 使 能 组 播 路 由 功能 ， 并 在 所 有 VLAN 接口 上 使 能 PIM-SM 功能 ， 同 时 以 SwitchD 上 的 GEO/0/4 
接口 为 静态 RP。 因 为 SwitchA、SwitchB、SwitchC 和 SwitchD 上 的 配置 方法 都 一 样 ， 所 以 下 面 仅 以 SwitchA 为 
例 进 行 介绍 。 
[SwitchA] multicast routing-enable 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] pim sm 
[SwitchA-Vlanif10] quit 
[SwitchA] interfacevlanif 11 
[SwitchA-Vlanif11] pim sm 
[SwitchA-Vlanif11] quit 
[SwitchA] pim 
[SwitchA-pimj] static-rp 192.168.4.1 
[SwitchA-pim] quit 
(3) 配置 SwitchA、SwitchbB 和 SwitchC 的 组 播 组 成 员 侧 接口 使 能 IGMP， 同 样 因为 它们 的 配置 方法 
样 ， 下 面 也 仅 以 SwitchA 为 例 进行 介绍 。 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] igmp enable 
(4) 将 SwitchA 的 组 播 组 成 员 侧 接口 静态 加 入 组 播 组 225.1.1.3， 使 用 户 能 长 期 接收 发 往 组 播 组 225.1.1.3 
的 数据 。 
[SwitchA-Vlanif10] igmp static-group 225.1.1.3 
[SwitchA-Vlanif10] quit 
(5) 在 连接 已 订购 节目 用 户 的 最 后 一 跳 交 换 机 上 配置 IGMP 组 成 员 关 系 个 数 限制 。 本 示例 是 需要 在 
SwitchA 上 配置 ， 假 设 总 共 可 以 创建 50 个 IGMP 组 成 员 关 系 。 
[SwitchAj] igmp global limit 50 
还 可 在 具体 的 接口 (如 VLANIF10〉 上 配置 总 共 可 以 创建 的 GMP 组 成 员 关 系数 量 ， 假 设 为 30 个 (肯定 
要 小 于 SwitchA 上 全 局 的 成 员 关 系 限 制 数 ) 。 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] igmp limit 30 
[SwitchA-Vlanif10] quit 
如 果 还 要 保证 SwitchB 和 SwitchC 上 已 订购 节目 用 户 的 接收 质量 ， 可 以 按照 上 面 介绍 的 SwitchA 上 HostA 
配置 方法 配置 静态 加 入 组 播 组 ， 并 且 配 置 IGMP Limit 功 能 。 
配置 好 后 ， 可 通过 使 用 display igmp interface 命 令 查看 交换 机 接口 上 IGMP 的 配置 和 运行 情况 。SwitchA 
的 VLANIF10 接 口上 IGMP 的 显示 信息 如 下 ， 从 中 可 以 看 到 SwitchA 的 VLANIF10 上 可 创建 的 GMP 组 成 员 关 
系 的 最 大 个 数 为 30 个 。 


<SwitchA>display igmp interface vlanif 10 















































































































































































































































































































































































































































































































































Interface information 
vlanif10(10.110.1.1): 


IGMP is enabled 

Current IGMP version is 2 

IGMP state: up 

IGMP group policy: none 

IGMP limit: 30 

Value of query interval for IGMP (negotiated): - 

Value of query interval for IGMP (configured): 60 S 
Value of other querier timeout for IGMP: 0s 

Value of maximum query response time for IGMP: 10 s 
Querier for IGMP: 10.110.1.1 (this router) 





13.2 PIM-DM (IPv4) 配置 与 管理 
































在 PIM-DM 模式 中 使 用 * 推 ”(Push) 模式 转发 组 播报 文 ， 就 是 由 PIM 路 由 器 向 组 播 成 员 主 动 推送 组 播 
数据 ， 因 为 PIM-DM 网 络 仅 适 用 于 ASM 模型 ， 即 它 的 组 播 源 是 任意 的 ， 组 播 成 员 和 组 播 路 由 器 都 不 关心 
组 播 源 的 位 置 。 当 网 络 中 有 活跃 的 组 播 源 出 现 ， 即 有 组 播 源 需 要 向 某 组 播 组 发 送 组 播 数 据 时 ， 会 将 组 播 数 
据 扩 散 到 全 网 ， 借 助 RPF 检查 机 制 创 建 组 播 路 由 表 项 ， 实 现 组 播 数据 转发 。 因 为 组 播 数据 要 在 全 网 泛 洪 扩 
散 ， 所 以 一 般 用 于 规模 较 小 、 组 成 员 分 布 密集 的 组 播 网 络 ， 和 否则 可 能 造成 组 播 路 由 器 的 数据 转发 压力 。 

PIM-DM 的 关键 工作 机 制 包括 邻居 发 现 、 扩 散 、 剪 梳 、 嫁 接 、 断 言 和 状态 刷新 这 几 个 过 程 。 如 图 13-4 所 
示 ， 在 PIM-DM 网 络 中 出 现 了 活跃 的 组 播 源 Source 后 ， 通 过 组 成 员 管 理 协 议 IGMP，SwitchD、SwitchE 了 解 
到 与 其 相连 的 HostB、HostC 为 组 播 组 成 员 ， 便 将 接收 到 的 组 播 数据 分 别 向 组 成 员 所 在 网 段 转发 。 由 于 与 
SwitchC 相 连 网 段 没有 组 成 员 ， 它 会 逐 跳 向 上 游 发 起 剪 枝 操作 。 组 播 源 的 最 后 一 跳 PIM 组 播 路 由 器 SwitchA 接 
收 到 剪 枝 报 文 后 ， 就 会 将 与 SwitchC 相 连 的 下 游 接口 从 PIM 路 由 表 项 的 下 游 接口 列表 中 删除 ， 抑 制 组 播 数据 
向 该 接口 的 网 段 转发 。PIM-DM 网 络 就 是 这 样 通过 这 种 周期 性 的 “扩散 - 剪 枝 ”， 来 构建 并 维护 一 棵 单 向 无 环 
的 SPT 〈Source Specific Shortest Path Tree， 源 指定 最 短路 径 树 ) 。 整 个 SPT 路 径 是 以 组 播 源 为 起 点 的 ， 同 
时 组 播 源 也 是 组 播 的 中 心 。 具 体 PIM-DM 工 作 原 理 参 见 本 书 第 12 章 12.3.2 节 。 








































































































































































































































































































































Source 


PIM-DM 


| SwitchA ”SwitchB SwitchF 
本 一 一 > 





SwitchE 


一 -> Multicast packets 


HostA HostB HostC 一 
Receiver Receiver 


13.2.1 PIM-DM (IPv4) 





13-4 PIM-DM 网 络 构 建 SPT 的 示例 


特性 的 产品 支持 








除 S2700/3700 系 列 儿 








上 ， 其 他 所 有 S 系 列 交换 机 均 支 持 PIM-DM。 











PIM-DM 可 配置 的 主要 特性 包括 基本 功能 的 配置 、PIM-DM 控 制 参数 的 调整 和 PIM Silent。 但 除了 基本 
功能 配置 外 ， 其 他 均 为 可 选 配置 任务 。 











1. PIM-DM 基 本 功能 

















PIM-DM 基 本 功能 就 是 对 对 应 的 VLAN 或 者 Loopback 接 口上 使 能 PIM-DM 功 能 。 在 接口 上 使 能 了 PIM- 
DM 功能 之 后 ， 系 统 采用 PIM-DM 的 缺 省 值 就 可 以 正常 工作 ， 将 组 播 源 发 出 的 组 播 数据 分 发 到 组 成 员 网 段 。 
2. PIM-DM 控 制 参 数 

















有 时 候 为 了 提高 网 络 安全 性 ， 增 强 组 播报 文 转发 的 控 








所 示 的 PIM-DM 控 制 参数 。 


表 13-6 PIM-DM 控 制 参 数 





























参数 说 明 

组 播 源 设备 可 以 基于 组 播 源 来 控制 组 播报 文 的 转发 。 一 方面 有 助 于 数据 流量 控制 , 另 一 方面 可 
控制 参数 | 以 限定 下 游 组 播 组 成 员 能 够 获得 的 信息 ， 提 高 安全 性 

邻居 设备 间 通 过 交互 Hello 报 文 建立 PIM 邻居 关系 , 协商 各 类 控制 参数 , 所 以 可 以 基于 Hello 
控制 参数 报 文 来 控制 邻居 间 的 关系 。 同 时 可 以 配置 灵活 的 邻居 控制 策略 ， 提 高 网 络 安全 性 ， 比 如 
人 防止 非法 PIM 邻居 的 入 侵 

前 村 如 果 前 与 设备 相连 的 网 段 没 有 组 播 组 成 员 , 设 备 就 1 ;要 向 上 游 发 送 前 枝 报 文 ， 请 求 停 
控制 参数 止 转发 组 播 数 据 。 可 根据 实际 需要 调整 剪 枝 过程 的 控制 参数 ， 控制 组 播报 文 转发 来 支持 
不 同 转发 场景 

嫁接 为 使 被 剪 枝 网 段 中 出 现 的 组 播 组 成 员 在 下 一 次 “扩散 - 剪 枝 ”来 临 前 就 接收 到 组 播 数据 ， 
控制 参数 设备 需要 向 上 游 发 送 嫁接 报 文 请 求 恢复 转发 组 播 数据 。 可 根据 实际 需要 调整 嫁接 过 程 的 
2 控制 参数 ， 控 制 组 播报 文 转发 来 支持 不 同 转发 场景 








参数 





说 明 








状态 
控制 





周期 性 的 “扩散 - 剪 枝 ” 将 造成 很 大 的 网 络 资源 浪费 。 为 防止 被 前 枝 接口 因为 剪 枝 状态 





说 新 | 超时 而 恢复 转发 ， 系 统 启用 了 状态 剧 新 功能 ， 周 期 性 地 发 送 State-Refresh (状态 刷新 ) 








报 文 ， 刷 新 接口 剪 枝 定时 器 ， 使 没有 组 播 数据 转发 需求 的 接口 一 直 处 于 抑制 状态 










断 
控制 


3. PIM Silent 














当 设 备 从 下 游 接 口 接收 到 组 播 数 据 时 , 说 明 该 网 段 中 还 存在 其 他 的 上 游 设 备 。 设备 从 该 
接口 发 出 断言 报 文 , 参与 竞选 唯一 上 游 的 转发 者 。 可 根据 实际 需要 调整 发 送 断言 的 间隔 ， 
来 控制 断言 竞选 的 周期 












判 能 力 ， 根 据 实 际 需要 ， 设 备 支 持 调整 如 表 13-6 


( 续 表 ) 










在 直 连 用 户主 机 的 接口 上 需要 使 能 PIM 协 议 ， 以 便 在 该 接口 上 可 以 建立 PIM 邻 居 ， 处 理 各 类 PIM 协议 


报 文 。 但 这 里 存在 一 个 问题 ， 那 就 是 如 果 有 恶意 主机 模拟 向 PIM 路 由 器 发 送 PIM Hello 报 文 时 ， 有 可 能 导致 














设备 瘫痪 。 为 了 避免 这 样 的 情况 发 4 














E， 可 以 将 该 接口 设置 为 PIM Silent 状 态 《〈 即 PIM 消 极 状 态 ) ， 这 样 就 可 


禁止 该 接口 接收 和 转发 任何 PIM 协 议 报 文 ， 删 除 该 接口 上 的 所 有 PIM 邻 居 以 及 PIM 状 态 机 。 但 该 接口 上 的 


IGMP 功 能 不 受 影响 。 















































该 功能 仅 适 用 于 与 用 户主 机 网 段 直 连 的 PIM 设备 接口 ， 且 该 用 户 网 段 只 与 这 一 台 P 














了 该 功能 后 ， 接 口 将 不 有 











了 接收 和 转发 任何 PIM 协 议 报 文 ， 但 这 样 配 置 后 ， 该 接口 配置 的 ] 


















































IM 设 备 相 连 。 配 置 
其 他 PIM 功能 将 失 




















效 ， 需 谨慎 使 用 。 如 果 用 户 网 段 与 多 台 PIM 设备 相连 ， 且 如 果 在 多 个 PIM 设 备 接口 上 配置 PIM Silent， 则 这 











些 接口 都 成 为 了 静态 DR 




















， 会 导致 该 网 段 中 同时 存在 多 个 DR， 从 而 引发 组 播 故 障 。 








S2700/3700 系 列 交 换 机 不 支持 该 特性 。 





与 PIM-DM 相关 的 功能 和 参数 


能 ，PIM Silent 功 能 未 使 能 。 


13.2.2 配置 PIM-DM 基 本 功能 














在 配置 PIM-DM 前 需要 先 配 置 好 单 播 路 


PIM-DM 和 PIM-SM， 如 果 接 























全 已 
Be。 
























































协议 ， 保 证 网 络 内 单 播 路 
口上 需要 同时 使 能 PIM-DM 和 IGMP， 必 须 先 使 能 PIM-DML， 

PIM-DM 基 本 功能 的 配置 很 简单 ， 主 要 就 是 两 项 基本 任务 :一 是 全 局 使 能 组 播 路 
他 组 播 功 能 时 已 使 能 ， 则 无 需 上 
人体 配置 步骤 如 表 13-7 所 示 。 

















畅通 。 












































功能 




















了 使 能 ) ， 二 是 在 对 应 的 VLAN 接口 或 者 Loopback 接 口上 使 外 





表 13-7 PIM-DM 基 本 功能 配置 步 又 











命令 


说 明 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 


视图 





multicast routing-enable 
例如 : [HUAWEI] multicast 
routing-enable 


全 局 使 能 组 播 路 由 功能 。 其 他 说 明 参 见 13.1.2 节 表 13-1 
中 的 第 2 步 








interface interface-type 
interface-number 
例如 : [HUAWEI] interface vlanif 10 


键入 要 配 





置 PIM-DM 功能 的 VLAN 或 者 Loopback 接口 ， 


进入 接口 视图 














说 明 













pim dm 
例如 : [HUAWELVIaniflo] pim 
dm 


13.2.3 调整 组 播 源 控制 参数 














每 当 PIM 设 备 在 接收 到 源 S 发 往 组 播 组 G 的 组 播报 文 后 ， 就 会 启动 该 (S，G) 表 项 的 定时 











器 上 的 组 播 转发 表 项 。 



































地 址 过 滤 策 略 ， 
有 过 滤 策 略 ， 即 





另外 ， 如 果 和 希望 控制 组 
只 接收 该 策 
接收 任何 组 和 


播 流量 或 者 保证 组 播 成员 所 接收 的 组 播 数 所 


在 以 上 接 





缺 省 情况 





























还 可 对 组 播 源 生存 时 间 进 行 控 





备 源 发 来 的 组 播 数据 。 


























央 ， 提 高 数 和 











置 好 PIM-DM 基 本 功能 。 
































人 体 配 置 步骤 如 表 13-8 所 示 。 


表 13-8 调整 组 播 源 控 人 


PIM-DM 功能 后 ， 交 换 机 才能 与 相 邻 的 设备 建立 PIM 邻 
居 ， 对 来 自 PIM 邻居 的 协议 报 文 进行 处 理 


dm 命令 恢复 缺 省 的 去 使 能 状态 










口上 使 能 PIM-DM 功能 。 在 接口 上 使 能 了 





下 ， 接 口上 未 使 能 PIM-DM， 可 使 用 undo pim 

















略 允 许 范围 内 组 播 源 发 送 的 组 播 数据 ， 拒 绝 非 法 的 组 播 数 据 。 缺 





决 省 配置 为 PIM-DM 未 使 能 、 状 态 刷 新 功能 在 使 能 PIM-DM 功 能 后 使 


且 设 备 上 不 能 同时 使 能 
了 使 能 IGMP 。 





(如 果 在 配置 


全 


EPIM-DM 功 


( 续 表 ) 


| 器 ， 即 源 生存 





时 间 《〈 缺 省 值 为 210s ) 。 下 次 如 果 超 时 前 接收 到 该 组 播 源 发 来 的 报 文 ， 则 重 置 定时 器 ; 如果 超时 后 没有 接 
收 到 该 组 播 源 发 来 的 报 文 ， 则 认为 该 “Ss，G) 表 项 失效 ， 将 其 删 





除 。 通 过 这 种 方法 可 以 及 时 地 更 新 PIM 路 


居 的 安全 性 ， 还 可 在 PIM 设 备 上 配置 源 


省 情况 下 ， 没 








通过 基本 或 高 级 ACL 可 对 组 播 源 地 址 或 纪 
安全 性 、 控 制 网 络 流量 。 





























判 参数 的 配置 步骤 


























有 址 进行 过 渡 ， 
但 在 调整 组 播 源 控制 参数 之 前 ， 需 配 














命令 





说 明 









system-view 
例如 : <HUAWEI> system-view 





进入 





系统 视图 
A A 















2 pim 进入 
例如 : [HUAWEI pim 的 配 






青 除 PIM 视图 下 进行 
请 慎 用 


PIM 视图 。 可 用 undo pim 命令 ; 
置 ， 将 删除 所 有 IPv4 PIM 全 局 配置 信息 ， 





















source-lifetime interval 接口 
例如 : [HUAWEI-pim] 


source-lifetime 120 





器 超 | 


命令 


配置 组 播 源 生存 时 间 (适用 于 所 有 组 播 源 )， 取 值 范 围 为 
60 一 65 535 的 整数 秒 


后 ， 每 接收 到 S 


恢复 











第 一 次 收 到 源 S 发 出 的 组 播报 文 后 ， 启 动 定时 器 ， 然 
发 出 的 组 播报 文 就 重 置 定 时 器 ， 如 果 定 时 
时 ， 则 认为 〈《S，G) 表 项 失效 

情况 下 ， 超 时 时 间 是 2108， 可 用 undo source-lifetime 
讨 间 间 隔 为 缺 省 值 












ACL 








source-policy { acl-number | acl- 
name acl-name } 

例如 : [HUAWEI-pim] 
source-policy 2001 报 文 ， 
| 的 
者 属 
配置 ; 








缺 省 | 
数据 





配置 源 地 址 过 滤 策 略 ， 使 交换 机 对 接收 的 
指定 数字 


acl-name 


防止 非法 浙 
策略 可 限定 合法 的 组 播 源 或 者 组 播 源 组 地 
过 该 过 滤 规 则 的 报 文 将 被 丢弃 , 但 不 过 渡 
如 果 配 置 
址 ， 即 只 转发 组 播 源 地 址 属于 源 地 址 过 滤 





纪 


1 播 数据 报 文 根 据 







| (选择 acl-number 参数 时 ) 


降 














) 所 | 






止 范围 ， 所 有 未 通 
静态 加 入 的 (S, G) 
是 基本 ACL， 规 则 中 的 源 地 址 代表 的 是 组 播 源 地 
钢 则 允许 范围 的 组 播 
如 果 配 置 的 是 高 级 ACL, 规则 中 源 地 址 代表 组 播 源 地 址 ， 
地 址 为 组 播 组 地 址 ， 即 只 转发 组 播 源 地 址 和 组 播 组 地 址 ， 
于 过 滤 规 则 允许 范围 内 的 组 播报 文 ， 如 果 指定 ACL 没有 
滤 规 则 ， 则 不 转发 任何 组 播 源 /组 地 址 发 送 的 组 播报 文 
青 况 下， 交换 机 不 根据 组 播 源 或 组 播 源 组 地 址 过 滤 组 播 
报 文 ， 可 用 undo source-policy 命令 删除 过 滤 配 置 









































【示例 1】 使 用 数字 型 ACL 配 置 接收 组 播 源 地 革 
的 组 播 数据 包 。 
<HUAWEI> system-view 
[HUAWEI] acl number2001 
[HUAWEI-acl-basic-2001] rule permit source 10.1 

















F 为 10.10.1.2 的 组 播 数据 包 ， 于 弃 组 播 源 地 址 为 10.10.1.1 


0.1.20 


[HUAWEI-acl-basic-2001] rule deny source10.10.1.10 


[HUAWE1I-acl-basic-2001] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] pim 

[HUAWEI-pim] source-policy 2001 





【示例 2】 使 用 命名 型 ACL 配 置 接 收 组 播 源 地 址 为 10.10.1.2 的 组 播 数 据 包 ， 于 弃 组 播 源 地 址 为 10.10.1.1 




















的 组 播 数据 包 。 
<HUAWEI> system-view 
[HUAWEI] acl name myacl 


[HUAWEI-acl-adv-myacl] rule permit ip source 10.10.1.2 0 


[HUAWEI-acl-adv-myacl] rule deny ip source10.1 
[HUAWEI-acl-adv-myacl] quit 

[HUAWEI] multicast routing-enable 

[HUAWEI] pim 

[HUAWEI-pim] source-policy acl-namemyacl 








0.1.10 


【示例 3】 使 用 数字 型 ACL 配 置 接 收 组 播 源 地 址 为 10.10.1.2， 组 播 组 地 址 为 225.1.1.3 的 组 播 数 据 包 。 

















<HUAWEI> system-view 

[HUAWEI] acl number3001 
[HUAWEI-acl-basic-3001] rule permit source 10.1 
[HUAWEI-acl-basic-3001] quit 


0.1.2 0destination 225.1.1.3 0 


[HUAWEI] multicast routing-enable 
[HUAWEI] pim 
[HUAWEI-pim] source-policy 3001 





13.2.4 调整 邻居 控制 参数 














通过 调整 邻居 控制 参数 ， 控 制 邻居 间 Hello 报 文 的 交互 ， 可 以 防止 非法 邻居 关系 的 建立 ， 保 证 PIM-DM 
网 络 的 安全 。 在 调整 邻居 控制 参数 之 前 ， 也 需要 先 完 成 PIM-DM 基 本 功能 配置 。 

1. 调整 Hello 报 文 的 时 间 控 制 参 数 

PIM 设 备 通过 周期 性 地 发 送 Hello 报 文 来 维护 PIM 邻 居 关 系 ， 就 像 RIP、OSPF 这 些 动 态 路 由 协议 中 的 邻居 
维护 一 样 。 当 PIM 设 备 收 到 邻居 发 来 Hello 报 文 后 会 启动 定时 器 ， 时 间 设 为 该 Hello 报 文 的 保持 时 间 。 如 果 超 
时 后 没有 收 到 邻居 发 来 的 Hello 报 文 则 认为 该 邻居 失效 或 者 不 可 达 。 为 了 避免 多 个 PIM 设 备 同时 发 送 Hello 报 
文 而 导致 冲突 ， 当 PIM 设 备 接收 到 Hello 报 文 时 将 延迟 一 段 时 间 再 发 送 Hello 报 文 。 该 段 时 间 的 值 为 一 个 随机 
值 ， 并 且 小 于 触发 Hello 报 文 的 最 大 延迟 。 

发 送 Hello 报 文 的 时 间 间 隔 〈 缺 省 为 30s ) 、Hello 报 文 的 保持 时 间 《〈 缺 省 为 105s ) 在 全 局 PIM 视 图 下 和 
接口 视图 下 都 可 配置 。 如 果 同 时 配置 ， 接 口 视 图 上 的 配置 生效 。 但 触发 Hello 报 文 的 最 大 延迟 时 间 〈 缺 省 
为 5s ) 只 能 在 接口 上 配置 。 

2. 配置 邻居 过 滤 策 略 

设备 支持 以 下 两 种 邻居 过 滤 策 略 ， 来 保证 PIM-DM 网 络 的 安全 和 畅通 。 

(1) 限定 合法 的 邻居 地 址 范围 ， 防 止 非法 邻居 入 侵 等 。 

(2) 拒绝 接收 无 Generation ID 的 Hello 报 文 ， 保 证 与 设备 相连 的 都 是 正常 工作 的 PIM 邻 居 。 

以 上 两 项 基本 配置 任务 的 具体 配置 步骤 如 表 13-9 所 示 ， 但 Hello 报 文 的 时 间 控 制 参数 、 邻 居 过 滤 策 略 配 
置 时 并 无 先后 顺序 ， 可 根据 实际 需要 进行 调整 。 













































































































































































































































































判 参数 的 配置 步骤 





el 


表 13-9 调整 邻 


System-view 
例如 : <HUAWEI> 进入 系统 视图 
System-view 








2 | pim 进入 PIM 视图 。 可 用 undo pim 命令 清除 PIM 视图 下 进行 的 配 
例如 : [HUAWEI] pim | 血 ， 将 删除 所 有 IPv4 PIM 全 局 配置 信息 ， 请 慎 用 
hae hotel 全 局 配置 发 送 Hello 报 文 的 时 间 间 隔 , 取 值 范围 为 1 一 18 000 
例如 : [HUAWEI-pim] | 的 整数 秘 i 
er hail 100 下 缺 省 情况 下 , 交换 机 发 送 Hello 报 文 的 时 间 间 隔 是 30s, 可 用 
undo timer hello 命令 恢复 时 间 间 陋 为 缺 省 值 
全 局 配置 Hello 报 文 的 保持 时 间 ， 即 配置 交换 机 等 待 接收 其 
PIM 邻居 发 送 Hello 报 文 的 超时 时 间 ， 取 值 范围 为 1 一 65 535 
hello-option holdtime | 的 整数 秒 , 如 果 超 时 后 , 设备 没有 收 到 该 邻居 后 续 发 来 的 Hello 
interyal 报 文 ， 则 认为 邻居 失效 或 不 可 达 
例如 : [HUAWEI-pim] | Hello 报 文 的 保持 时 间 应 该 大 于 上 一 步 配 置 的 Hello 报 文 发 送 
hello-option holdtime | 间隔 
缺 省 情况 下 ， 交 换 机 等 待 接收 其 PIM 邻居 发 送 Hello 报 文 的 
超时 时 间 是 105s, 可 用 undo hello-option holdtime 命令 恢复 
配置 参数 的 缺 省 值 









q 

例如 : [HUAWEI-pim] | 退出 发 PIM 视图 ， 返 回 系统 视图 
interface jnieryJoce-0pe 

interface-number (可 选 ) 键入 要 配置 邻居 控制 参数 的 PIM-DM VLAN 接口 或 
例如 : [HUAWEI 者 Loopback 接口 ， 进 入 接口 视图 
interface vlanif 100 

(可 选 ) 在 以 上 接口 上 配置 发 送 Hello 报 文 的 时 间 间 隔 ， 取 值 
例如 : [HUAWEI- 范围 为 1 一 18 000 的 整数 秒 

Vlanif100] pim timer | 缺 省 情况 下 ， 交 换 机 发 送 Hello 报 文 的 时 间 间 隔 是 30s, 可 用 
hello 100 undo pim timer hello 命令 恢复 时 间 问 隔 为 缺 省 值 
(可 选 ) 在 以 上 接口 上 配置 Hello 报 文 的 保持 时 间 ， 取 值 范围 
pim hello-option 为 1 一 65 535 的 整数 秒 
holdtime interval Hello 报 文 的 保持 时 间 应 该 大 于 上 一 步 配置 的 Hello 报 文 发 送 | 邻居 
例如 ，[HUAWEI- 间隔 控制 
Vlanif100] pim hello- | 缺 省 情况 下 ， 交 换 机 等 待 接收 其 PIM 邻居 发 送 Hello 报 文 的 | 参数 
option holdtime 300 “| 超时 时 间 是 105s， 可 用 undo pim hello-option holdtime 命令 
恢复 配置 参数 的 缺 省 值 

(可 选 ) 在 以 上 接口 上 配置 触发 Hello 报 文 的 最 大 延迟 ， 取 值 
范围 为 1 一 5 的 整数 秒 。 为 了 避免 多 个 PIM 设备 同时 发 送 
Hello 报 文 而 导致 冲突 ， 当 PIM 路 由 器 检测 到 网 络 中 已 存在 



















pim triggered-hello- 









Hey nb Hello 报 文 时 ， 将 自动 选取 小 于 本 命令 配置 值 的 任意 随机 数 进 
VD EI | 行 下 时， 然后 发 送 Helle 报 文 。 
tripgered helio-d clay 3 | 缺 省 情况 下, 触发 Hello 报 文 的 最 大 延迟 是 5s, 可 使 用 undo 







pim triggered-hello-delay 命令 恢复 触发 Hello 报 文 的 最 大 延 
迟 为 缺 省 值 








说 明 





pim neighbor-policy 
basic-acl-number 
例如 : [HUAWEI- 
Vlanifl00]pim 
neighbor-policy 2010 


(可 选 ) 过 滤 以 上 接口 上 的 PIM 邻居 。 参 数 用 来 定义 限制 PIM 
邻居 ( 单 播 IP 地 址 ) 的 基本 ACL， 取 值 范围 为 2 000 一 2 999。 
在 定义 ACL 规则 时 ， 通 过 permit 选项 配置 接口 仅 接收 指定 地 
址 范围 的 Hello 报 文 。 如 果 ACL 未 定义 规则 ， 则 接口 过 滤 掉 
所 有 地 址 范围 的 Hello 报 文 

【说 明 】〗 为 了 防止 某 些 非法 邻居 参与 PIM 协议 ， 可 通过 执行 
此 命令 配置 邻居 过 滤 规 则 ， 限 定 合法 的 邻居 地 址 范围 ， 只 与 
符合 过 滤 规 则 的 邻居 建立 邻居 关系 ， 删 除 不 符合 过 滤 规 则 的 
邻居 。 设 备 上 配置 了 合法 的 邻居 地 址 范围 后 ， 如 果 之 前 与 其 
建立 好 邻居 关系 的 PIM 设备 不 在 其 合法 地 址 范围 内 , 后 续 将 
不 会 再 收 到 邻居 设备 的 Hello 报 文 。 邻居 关系 也 会 因 Hello 报 
文 的 保持 时 间 超 时 而 解除 

缺 省 情况 下 ， 不 过 滤 接 口上 的 PIM 邻居 ， 可 用 undo pim 
neighbor-policy 命令 恢复 缺 省 配置 





pim require-genid 
例如 : [HUAWEI- 


Vlanifl00]pim 
require-genid 


quit 
例如 : [HUAWEI- 
Vlanifl00] quit 


(可 选 ) 配 置 以 上 PIM 接口 拒绝 无 Generation ID 参数 的 Hello 
报 文 

【说 明 】 正 常情 况 下 ， 在 接口 上 使 能 PIM 后 ， 设 备 会 生成 一 
个 随机 数 作 为 Hello 报 文 的 Generation ID。 如 果 设 备 的 状态 
有 变化 则 生成 新 的 Generation ID。 当 对 端 设备 接收 到 该 Hello 
报 文 后 ， 发 现 其 中 包含 的 Generation ID 已 改变 ， 则 认为 PIM 
邻居 的 状态 已 经 改变 。 执 行 此 命令 可 配置 设备 拒绝 接收 无 
Generation ID 的 Hello 报 文 ， 保 证 连接 的 PIM 邻居 都 处 于 正 
常 工作 状态 

缺 省 情况 下 ，PIM 接口 接收 无 Generation ID 参数 的 Hello 报 
文 ， 可 用 undo pim require-genid 命 今 恢复 缺 省 配置 


退出 接口 视图 ， 返 回 系统 视图 





pim 
例如 : [HUAWEI] pim 


neighbor-check 

{ receive | send } 
例如 : [HUAWEJ]] 
neighbor-check receive 





进入 PIM 视图 








使 能 PIM 邻居 发 送 (选择 send 二 选 一 选项 ) 或 接收 (选择 
receive 二 选 一 选项 ) 的 检查 功能 。 加 入 和 前 枝 动作 都 是 通过 
设备 连 跳 向 上 游 PIM 邻居 发 送 Join-Prune 报 文 完成 ， 而 断言 
竞选 也 是 发 生 在 多 个 PIM 邻居 之 间 。 因 此 ， 有 时 候 为 了 减少 
设备 资源 浪费 ， 以 及 保证 上 述 两 类 协议 报 文 的 安全 性 ， 可 通 
过 执行 此 命令 配置 邻居 检查 功能 

设备 上 可 同时 配置 设备 的 邻居 发 送 和 接收 的 检查 功能 。 缺 省 
情况 下 ， 没 有 使 能 PIM 邻居 检查 功能 ， 可 用 undo neighbor- 
check 命令 恢复 缺 省 配置 





【示例 】 配 置 YVLANIF100 与 地 址 为 4.4.4.4 的 交换 机 建立 PIM 令 居 。 


<HUAWEI>system-view 
[HUAWEI] acl number2001 


[HUAWEI-acl-basic-2001] rule permit source 4.4.4.4 0.0.0.0 


[HUAWEI-acl-basic-2001] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 


[HUAWEI-Vlanif100] pim neighbor-policy 2001 


13.2.5 调整 前 枝 控 制 参 数 











如 果 当 前 与 设备 相连 的 网 段 没 有 组 播 组 成 员 ， 设 备 就 需要 向 上 游 发 送 剪 枝 报 文 ， 请 求 停止 转发 组 播 数 
据 。 可 根据 实际 需要 调整 剪 枝 过 程 的 控制 参数 ， 控 制 组 播报 文 转发 来 支持 不 同 转发 场景 。 但 如 果 没 有 特殊 

















需要 ， 推 荐 使 用 缺 省 值 。 同 样 ， 在 调整 前 枝 控 4 
在 剪 枝 控制 参数 调整 过 程 中 ， 可 以 配置 : 














可 


























调整 。 














1. 调整 Join-Prune 报 文 的 时 间 控 制 参数 





出 参 数 之 前 ， 需 要 完成 PIM-DM 基 本 功能 配置 任务 。 
Join-Prune 报 文 的 时 间 控 制 参 数 、Join-Prune 报 文 的 信息 携带 能 
力 、 剪 枝 延迟 时 间 这 3 个 方面 ， 但 它们 的 配置 无 先后 顺序 ， 也 不 是 必须 全 部 配置 ， 用 户 可 根据 实际 需要 进行 





得 




















PIM 设备 通过 向 上 游 发 送 的 前 枝 信息 被 封装 在 PIM 协议 通用 的 转发 控制 报 文 〈 即 Join-Prune 报 文 ) 
中 。 上 游 设 备 在 收 到 Join-Prune 报 文 后 ， 就 会 启动 定时 器 〈 缺 省 值 为 210s ) ， 时 间 设 为 Join-Prune 报 文 自身 
携带 的 保持 时 间 。 超 时 后 ， 如 果 没 有 收 到 下 游 后 续 发 来 的 Join-Prune 报 文 ， 则 恢复 相应 组 播 组 下 游 接口 的 转 
发 。 





































































































Join-Prune 报 文 的 保持 时 间 在 全 局 PIM 视 图 下 和 接口 视图 下 都 可 配置 。 如 果 同 时 配置 ， 接 口 视图 上 的 配 
置 生效 。 
2. 调整 Join-Prune 报 文 的 信息 携带 能 
在 PIM-DM 网 络 中 ，Join-Prune 报 文 主要 包含 了 需要 藤 枝 的 表 项 信息 。 设 备 文 持 通 过 配置 Join-Prune 报 文 
长 度 、 包 含 表 项 数目 、 发 送 方式 ， 来 调整 同上 游 发 送 剪 枝 信 息 的 信息 量 。 
(1) 当 PIM 邻 居 设 备 性 能 比较 差 ， 处 理 单 个 Join-Prune 报 文 耗 时 比较 长 ， 可 以 通过 调整 发 送 的 Join- 
Prune 报 文 长 度 〈 缺 省 值 为 8 100 字 节 ) 来 控制 发 送 Join-Prune 报 文 携带 的 (S，G) 表 项 数量 ， 来 降低 PIM 
邻居 设备 的 压力 。 
(2) 当 PIM 邻居 设备 端口 带宽 较 小 时 ， 可 以 通过 调整 周期 性 报 文 发 送 队 列 长 度 ， 控 制 每 次 发 给 PIM 邻 
居 设 备 的 《S，G) 表 项 数量 《〈 缺 省 值 为 1 020 个 ) ， 采 取 小 量 多 批 次 方式 发 送 Join-Prune 报 文 ， 从 而 避免 
PIM 邻 居 设 备 来 不 及 处 理 就 将 报 文 丢 弃 ， 引 起 路 由 振荡 。 
(3) 缺 省 情况 下 ， 为 了 提高 发 送 效 率 ，Join-Prune 报 文 都 是 打包 向 上 游 发 送 。 如 果 不 希 望 Join-Prune 报 
文 打 包 发 送 ， 可 去 使 能 此 功能 ， 使 Join-Prune 报 文 一 个 个 地 发 送 。 
3. 调整 剪 枝 延 迟 时 间 
在 PIM 剪 校 过 程 中 ， 从 收 到 下 游 设 备 发 来 的 剪 枝 信息 到 继续 向 上 游 设 备 发 送 剪 枝 信息 会 有 一 段 延迟 时 
间 ， 这 个 时 间 称 为 LAN-Delay〈 缺 省 值 为 500ms ) 。PIM 设 备 在 向 上 游 发 完 剪 校 信息 后 ， 也 不 会 立即 将 相应 
下 游 接 口 剪 掉 ， 还 会 保持 一 段 时 间 向 下 游 转 发 ， 以 便 下 游 设备 有 时 间 提 出 否决 前 村 的 请 求 。 这 段 否决 前 校 
的 时 间 称 为 Override-Interval 〈 缺 省 值 为 2500ms ) 。 所 以 ， 实 际 上 PIM 设 备 从 收 到 剪 枝 信息 到 完成 剪 枝 动 
作 总 共 延 迟 了 LAN-Delay 十 Override-Interval = PPT。PPT 表 示 当 前 交换 机 从 收 到 下 游 剪 枝 报 文 到 执行 剪 枝 操 
FE 抑制 下 游 接 口 转发 ) 之 间 的 延 时 。 在 PPT 时 间 内 如 果 收 到 下 游 发 来 的 前 村 否决 报 文 ， 则 取消 前 校 操作 。 
LAN-Delay、Override-Interval 在 全 局 PIM 视 图 下 和 接口 视图 下 都 可 配置 。 如 果 同 时 配置 ， 接 口 视图 下 的 
配置 优先 级 高 于 系统 视图 下 的 配置 ， 接 口 视图 下 的 配置 生效 。 
以 上 三 方面 配置 任务 的 具体 配置 步 又 如 表 13-10 所 示 。 
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表 13-10 调整 剪 枝 控制 参数 的 配置 步 又 





System-view 
公共 配置 例如 : <HUAWEI> 进入 系统 视图 
System-view 
pim 
例如 : [HUAWEI pim | 进入 PM 视图 


配置 向 上 游 设 备 周期 性 发 送 Join-Prune 报 文 
的 时 间 间 隔 ,， 了 到 值 范围 是 1 一 18 000 的 整数 秒 
【说 明 】PIM 交换 机 通过 向 上 游 发 送 加 入 信息 请 求 
转发 组 播 数据 ， 发 送 劳 枝 信息 请 求 停 止 转发 组 播 数 
据 。 实际 上 ， 加 入 信息 和 前 村 信息 都 被 封装 在 了 
Join-Prune 报 文中 ，PIM 路 由 器 会 周期 性 地 将 
timer join-prune Join-Prune 报 文 发 送 给 上 游 设备 来 更 新 转发 状态 。 
interval 可 通过 此 命令 设置 Join-Prune 报 文 的 发 送 周期 
例如 : [HUAWEI-pim] | 该 命令 配置 的 时 间 间 隔 必 须 小 于 下 一 步 
timer join-prune 80 | holdtime join-prune 命令 配置 的 时 间 间 陪 ， 即 
发 送 Join-Prune 报 文 的 周期 必须 小 于 
Join-Prune 报 文 的 保持 时 间 
缺 省 情况 下 ， 向 上 游 设备 周期 性 发 送 
Join-Prune 报 文 的 时 间 间 隔 是 60s， 可 用 undo 
timer join-prune 命令 恢复 全 局 发 送 
Join-Prune 报 文 的 时 间 间 隔 为 缺 省 值 
全 局 配置 Join-Prune 报 文 的 保持 时 间 , 取 值 范 
围 为 1 一 65 535 的 整数 秒 。 接 收 到 Join-Prune 
holdtime join-prune | 报 文 的 交换 机 依据 该 报 文 自身 携带 的 保持 时 
interval 间 来 确定 对 应 下 游 接 口 保持 加 入 或 前 枝 状 态 
例如 : [HUAWEI-pim] | 的 时 间 (由 此 可 以 看 出 , 这 一 个 参数 值 定义 了 
报 文 的 时 间 holdtime join-prune | 两 个 相同 的 时 间 ) 
控制 参数 缺 省 情况 下 ，Join-Prune 报 文 的 保持 时 间 是 
210s， 可 用 undo holdtime join-prune 命令 恢 
复 全 局 的 Join-Prune 报 文保 持 时 间 为 缺 省 值 


例如 : [HUAWEI-pim] | 退出 发 PIM 视图 ， 返 回 系统 视图 


interface interface-pe | (可 选 ) 键入 要 调整 Join-prune 报 文 的 时 间 控 


interface-number 
例如 : [HUAWEI] 
interface vlanif 100 


制 参数 的 PIM-DM VLAN 接口 或 者 Loopback 
接口 ， 进 入 接口 视图 


(可 选 ) 在 接口 上 配置 向 上 游 设备 周期 性 发 送 
Join-Prune 报 文 的 时 间 间 隔 ， 取 值 范围 为 1 一 
18 000 的 整数 秒 

pim timer 该 命令 配置 的 时 间 间 隔 必 须 小 于 下 一 步 的 

join-prune interval pim holdtime join-prune 命令 配置 的 时 间 间 

例如 : [HUAWEI- 隔 ， 即 发 送 Join-Prune 报 文 的 周期 必须 小 于 

Vlanif100] pim timer | Join-Prune 报 文 的 保持 时 间 

join-prune 100 缺 省 情况 下 ， 接 口 向 上 游 设备 周期 性 发 送 
Join-Prune 报 文 的 时 间 间 阳 是 60s， 可 用 undo 
pim timer join-prune 命令 恢复 接口 上 发 送 
Join-Prune 报 文 的 时 间 问 隔 为 缺 省 值 








调整 
Join-Prune 
报 文 的 时 间 
控制 参数 


调整 
Join-Prune 
报 文 的 信息 
擒 带 能 力 


调整 剪 枝 
延迟 时 间 


pim holdtime 
join-prune interval 
例如 : [HUAWEI- 
Vlanifl 00]pim 
holdtime join-prune 500 
quit 

例如 : [HUAWEI- 
Vlanif100] quit 

pim 

例如 : [HUAWEI pim 


(可 选 ) 在 接口 上 配置 Join-Prune 报 文 的 保持 
时 间 ， 取 值 范围 为 1 一 65 535 的 整数 秒 

缺 省 情况 下 ,Join-Prune 报 文 的 保持 时 间 是 210s， 
可 用 undo pim holdtime join-prune 命令 恢复 接 
口 的 Join-Prune 报 文保 持 时 间 为 缺 省 值 


退出 接口 视图 ， 返 回 系统 视图 


进入 PIM 视图 








join-prune 
max-packet-length 
packet-length 

例如 : [HUAWEI- 
pimljoin-prune 
max-packet-length 
1500 


join-prune periodic- 
messages queue-size 
queue-size 

例如 : [HUAWEI-pim] 
join-prune periodic- 
messages queue-size 50 


join-prune triggered- 

che disable 
例如 : [HUAWEI- 
pimjjoin-prune 
triggered-message- 
cache disable 


hello-option lan-deiay 
interval 
例如 : [HUAWEI-pim] 


hello-option ”lan-delay 
1000 


hello-option override- 
interval interval 

例如 : [HUAWEI-pim] 
hello-option override- 
interyal 2000 


配置 设备 发 送 的 Join-Prune 报 文 的 最 大 长 度 ， 取 值 范 
围 为 100 一 8 100 的 整数 个 字 节 。 如 果 通 过 此 命令 配置 
的 报 文 长 度 大 于 接口 MTU 值 ， 则 实际 报 文 发 送 最 大 
长 度 为 接口 MTU 值 

缺 省 情况 下 ，PIM-SM 发 送 的 Join-Prune 报 文 的 最 大 
长 度 是 8 100 字 节 ， 可 用 undo join-prune max- 
packet-length 命令 恢复 PIM-SM 发 送 的 Join-Prune 报 
文 长 度 为 缺 省 值 

配置 设备 每 秒 发 送 Join-Prune 报 文中 包含 的 表 项 数 
目 ， 取 值 范围 为 16 一 4 096 的 整数 

缺 省 情况 下 ，PIM-SM 每 秒 发 送 Join-Prune 报 文中 包含 
1 020 个 表 项 ， 可 用 undo join-prune periodic-messages 
queue-size 命令 恢复 PIM-SM 每 秒 发 送 周期 性 
Join-Prune 报 文中 包含 的 表 项 数目 为 缺 省 值 

去 使 能 实时 触发 的 Join-Prune 报 文 打包 功能 。 打 包 发 
送 Join-Prune 报 文 比 发 送 大 量 Join-Prune 小 报 文 效率 
高 ， 因 此 ， 设 备 缺 省 是 将 触发 性 PIM Join-Prune 小 报 
文 打包 发 送 的 。 著 不 需要 此 打包 发 送 机 制 时 ， 可 以 通 
过 执行 此 命令 去 使 能 打包 功能 

缺 省 情况 下 , 使 能 实时 触发 的 Join-Prune 报 文 打包 功 
能 ， 可 用 undo join-prune triggered-message- cache 
disable 命令 使 能 Join-Prune 报 文 打包 发 送 功能 

全 局 配置 发 送 前 枝 报 文 的 延迟 时 间 ， 取 值 范 

围 为 1 一 32 767 的 整数 毫秒 

缺 省 情况 下 , 共享 网 段 上 传输 Prune 报 文 的 延 

退 时 间 是 500ms， 可 用 undo hello-option 
lan-delay 命令 恢复 全 局 更 枝 报 文 延迟 时 间 为 

缺 省 值 

配置 Hello 报 文中 携带 的 否决 草 枝 的 时 间 间 

隔 ， 取 值 范围 为 1 一 65 535 的 整数 毫秒 

缺 省 情况 下 ，Hello 报 文中 携带 的 否决 前 枝 的 

时 间 间 也 是 2 S00ms， 可 用 undo hello-option 
override-interval 命令 恢复 全 局 否决 剪 枝 的 





Fa 
例如 : [HUAWEI-pim] 
quit 





interface interface-type 
interface-number 
例如 : [HUAWEI] 
interface vlanif 100 


时 间 间 隅 为 缺 省 值 


退出 发 PIM 视图 ， 返 回 系统 视图 





(可 选 ) 键入 要 配置 剪 枝 延 迟 时 间 的 PIM-DM 
VLAN 接口 或 者 Loopback 接口 , 进入 接口 视 
图 





调整 剪 枝 
延迟 时 间 





pim hello-option 
lan-delay interval 
例如 : [HUAWEI- 
Vlanifl00] pim hello- 
option lan-delay 1000 


pim hello-option 
override-interval interval 
例如 : [HUAWEI- 
Vlanifl00] pim hello- 
option override- 
interval 2000 


(可 选 ) 在 以 上 接口 上 配置 在 LAN 内 传输 消 
息 的 延迟 时 间 ， 取 值 范围 为 1 一 32 767 的 整 
缺 省 情况 下 , 共享 网 段 上 传输 Prune 报 文 的 延 
迟 时 间 是 500ms， 可 用 undo pim hello-option 
lan-delay 命令 恢复 接口 上 枝 报 文 延迟 时 间 为 
缺 省 值 

(可 选 ) 在 以 上 接口 上 配置 Hello 报 文中 携带 
的 否决 剪 枝 的 时 间 间 隔 ， 取 值 范围 为 1 一 
65 535 的 整数 毫秒 

缺 省 情况 下 ，Hello 报 文 中 携带 的 否决 剪 枝 的 
时 间 间 隔 是 2 500ms， 可 用 undo pim hello- 
option override-interval 命令 恢复 接口 上 否决 
剪 枝 的 时 间 间 隔 为 缺 省 值 








13.2.6 调整 嫁接 控制 参数 

















为 使 被 剪 枝 网 段 快 速 恢复 转发 ， 设 备 会 向 上 游 发 送 Graft 报 文 请 求 恢复 组 播 数据 转发 ， 并 同时 在 发 送 接 











口 启动 定时 器 ( 缺 4 
































之 前 ， 需 要 完成 PIM-DM 基 


调 








graft-retry interval 命令 在 接口 
口上 重 传 Graft 报 文 的 





况 下 ， 接 
间 间 隔 为 缺 省 值 。 








【示例 】 在 VLANIF100 接 口 」 


为 3s) 。 
通过 调整 嫁接 控制 参数 ， 可 以 








本 功能 配置 。 

















时 间 间 





<HUAWEI> system-view 


[HUAWEI] multicast ro 


uting-enable 


[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] pim timer graft-retry 80 





13.2.7 调整 状态 刷新 控制 参数 








为 防止 被 剪 枝 接口 





直 连 的 第 一 跳 PIM 设 备 上 周 














在 调整 状态 刷新 控制 参数 2 


在 整个 调整 


少 


























1. 禁止 状态 刷新 报 文 





大 态 刷 新 控制 参数 配置 过 程 ! 
刷新 报 文 的 TIL 值 、 状 态 刷 新 报 文 的 时 间 控 于 


























的 转发 











缺 省 














PIM 设 备 会 触发 发 送 (S，G) 状态 刷新 
器 。 这 样 没有 转发 需求 的 接口 

如 果 希 望 组 播 数据 每 一 次 “扩散 -前 校 * 时 
剪 枝 接口 转发 组 播 数 据 ， 可 在 接口 上 禁止 此 功能 



































站 








将 一 直 处 于 抑 








况 下 不 建议 禁止 接口 的 状态 刷新 报 文 的 收发 能 





2. 调整 状态 刷新 报 文 
与 组 播 源 直 连 的 第 一 晶 





的 时 间 控 制 参数 





超时 后 ， 如 果 设备 仍 没有 接收 到 组 播 数据 ， 会 
空 制 组 播 数据 报 文 的 转发 来 支持 不 同 转发 场景 。 


整 嫁接 控制 参数 的 方法 很 简单 ， 就 是 在 对 应 的 VLAN 接 
上 配置 重 传 Graft 报 文 的 时 间 间 隔 ， 取 值 范 
隔 是 3s， 可 用 undo pim timer graft-retry 命令 恢复 重 传 Graft 报 文 的 下 


因为 剪 枝 状态 超时 而 恢复 转发 ，PIM-DM 网 络 启用 
期 性 地 扩散 发 送 State-Refresh 报 文 ， 刷 新 接 
前 ， 需 要 完成 PIM-DM 基 本 功能 配置 。 

， 可 以 配置 以 下 几 个 方面 : 
I 参数。 配置 时 无 先后 顺序 ， 用 户 可 根 所 


情况 下 ， 为 了 避免 下 游 一 直 没有 组 播 需 求 的 被 剪 枝 接口 








新 





向 上 游 发 送 Graft # 








及 文 。 

















上 配置 重 传 Graft 报 文 的 时 间 间 隔 为 80s。 


同样 ， 在 调整 嫁接 控制 


参数 


> 








口 或 者 Loopback 接 














视 




























































































已 o 





但 状态 刷新 机 人 
































报 文 扩散 发 送 ， 设 备 很 有 可 能 在 短 时 间 内 收 到 本 





E 复 











针对 某 CS，G) 的 状态 刷 











定时 器 超时 前 ， 如 果 收 到 
3. 配置 状态 刷新 报 文 








设备 在 收 到 状态 刷新 报 文 后 ， 会 将 状态 刷新 报 文 的 TTL 值 〈 缺 4 
转发 来 刷新 下 游 设备 的 剪 枝 定时 器 ， 直 至 状态 刷新 
造成 状态 刷新 报 文 在 网 络 中 循环 传递 。 因 此 ， 为 了 有 效 控 
配置 合适 的 TTL 值 。 但 因为 状态 刷新 报 文 是 由 与 组 播 源 直 连 的 第 一 跳 PIM 设 备 触发 发 送 ， 所 以 状态 刷新 报 
文 的 TTL 值 只 在 该 设备 上 配置 















































的 TTL 值 














所 报 文 后 ， 就 会 启动 定时 器 〈 缺 4 
相同 的 状态 刷新 报 文 ， 就 会 直接 丢弃 。 











=- 
XX o 




















的 状态 刷 间 
























































EPIM 设 备 会 周期 性 〈 缺 省 值 为 60s 地 向 下 游 发 送 状 态 
f 报 文 。 为 了 避免 这 种 情况 发 49 
i 值 为 30s ) ， 时 间 设 为 该 报 文 的 抑制 时 间 。 在 

















图 下 使 上 
围 是 1~65 535 的 整数 秒 。 














jpim timer 


缺 省 





























了 状态 刷新 功能 ， 通 过 在 与 组 播 源 
剪 枝 定时 器 ， 维 持 SPT 树 。 同 样 ， 








禁止 状态 刷新 报 文 的 转发 、 状 态 
实际 需要 进行 调整 。 


因为 超时 而 恢复 转发 ， 与 组 播 源 S 直 连 的 
民 文 。 该 报 文 会 逐 跳 向 下 游 扩 散 ， 刷 新 所 有 PIM 设 备 上 的 剪 枝 定时 
制 转发 状态 。 








都 能 在 全 网 扩散 ， 不 需要 通过 设备 转发 状态 刷新 
能够 很 好 地 减少 网 络 资源 ; 


报 文 来 抑制 被 
恨 费 ， 一 般 情 




















刷新 报 文 





1 于 状态 刷新 
E， 设 备 在 收 到 








o 











i 值 为 255 ) 减 1， 然 后 继续 向 下 游 扩 散 
及 文 的 TTL 值 为 0。 当 网 络 规 模 很 小 而 TIL 值 很 大 时 ， 会 

















制 刷新 报 文 的 传递 范 

















韦 














， 需 要 根 和 


网 络 规模 大 小 








以 上 三 方 














看 配置 任务 的 具体 配置 步骤 丸 

















[0 表 13-11 所 示 。 





表 13-11 调整 状态 刷新 控制 参数 的 配置 步 又 





System-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





禁止 状态 
刷新 报 文 
的 转发 


interface interface-type 
interface-number 
例如 : [HUAWEI] 
interface vlanif 100 


undo pim 
state-refresh-capable 
例如 : [HUAWEI- 
Vlanifl00]undo pim 
state-refresh-capable 


键入 要 禁止 状态 刷新 报 文 转发 的 PIM-DM VLAN 接 


口 或 者 Loopback 接口 ， 


禁止 状态 刷新 报 文 的 转发 。 


进入 接口 视图 





禁止 PIM-DM 状态 刷新 


后 ， 接 口 在 剪 枝 定时 器 超时 后 开始 转发 组 播 数据 ， 
不 希望 接受 此 数据 的 下 游 交换 机 发 送 Prune 报 文 进 


行 剪 枝 。 


优化 网 络 流量 
缺 省 情况 下 ， 


使 能 PIM-DM 状态 刷新 ， 


该 过 程 周 期 性 重复 ， 占 用 较 多 的 网 络 资源 。 
因此 ， 使 能 PIM-DM 状态 刷新 ， 


可 以 在 一 定 程度 上 


可 在 接口 上 


执行 命令 pim state-refresh-capable 重新 启用 此 功能 





调整 状态 

刷新 报 文 

的 时 间 控 
制 参 数 








quit 
例如 : [HUAWEI- 
Vlanifl100] quit 


退出 接口 视图 ， 返 回 系统 视图 





( 续 表 ) 


一 | 


调整 状态 

刷新 报 文 

的 时 间 控 
制 参 数 


state-refresh-interval 
interval 

例如 : [HUAWEI-pim] 
state-refresh-interval 
100 


在 与 组 播 源 直接 相连 的 第 


状态 刷新 报 文 的 发 送 周 期 ， 


网 如 ; [HUAWEI] pim | 进入 PIM 视图 


- 跳 的 PIM 设备 上 配置 
取 值 范围 为 1 一 255 的 


整数 秒 
【说 明 】PIM-DM 网 络 中 ,设备 会 周期 性 地 发 送 状 态 
刷新 报 文 ， 刷 新 下 游 设 备 启动 剪 枝 定时 器 的 超时 时 
间 ， 使 没有 组 播 需 求 的 接口 一 直 处 于 剪 枝 状态 。 执 
行 此 命令 可 设置 状态 刷新 报 文 的 发 送 周期 

缺 省 情况 下 ， 发 送 PIM 状态 刷新 报 文 的 时 间 间 隔 是 
60s， 可 用 undo state-refresh-interval 命令 恢复 刷新 
时 间 间 隔 为 缺 省 值 





state-refresh-rate-limit 
interval 

例如 : [HUAWEI-pim] 
state-refresh-rate-limit 
200 


在 所 有 设备 上 配 置 相 同 的 状态 刷新 报 文 抑制 时 间 ， 
配置 其 他 PIM 设备 接收 新 PIM 状态 刷新 消息 前 
和 经 过 的 最 小 时 间 长 度 ， 取 值 范围 为 1 一 65 535 
整数 秒 

缺 省 情况 下 ， 接 收 新 PIM 状态 刷新 消息 前 必须 经 过 
的 最 小 时 间 是 30s, 可 用 undo state-refresh-rate-limit 


命令 恢复 为 缺 省 值 











配置 状态 
刷新 报 文 
的 TIL 值 


13.2.8 调整 断言 控制 参数 











state-refresh-ttl tt/-value 
例如 : [HUAWEI-pim] 
state-refresh-ttl 10 








在 与 组 播 源 直 接 相连 的 第 


一 跳 的 PIM 设备 上 配置 发 
送 PIM 状态 刷新 消息 的 TTL 值 , 取 值 范围 是 1 一 255 


的 整数 
缺 省 情况 下 ， 发 送 PIM 状态 刷新 消息 的 TTL 值 是 
2 可 用 undo state-refresh-ttl 命令 恢复 TTL 值 为 
缺 省 值 








当 一 个 网 段 内 有 多 个 相连 的 PIM 设备 通过 RPF 检查 后 向 该 网 段 转 发 组 播 数 据 时 ， 则 需要 通过 断言 竞 





选 来 保证 只 有 一 个 PIM 设 备 向 该 网 段 转 发 组 播 数据 。 























报 文 ， 参 与 竞选 唯一 上 游 。 








后 ， 落 选 的 设备 会 重新 恢复 转发 组 播 数 # 

当 设备 从 下 游 接口 接收 到 组 播 数 据 时 ， 
可 调整 断言 Assert 报 文 
视图 下 配置 。 如 果 同 时 配置 ， 则 接口 
在 全 局 的 配置 方法 是 在 PIM 视 图 下 使 用 holdtime assert interval 命 令 配 置 Assert 报 文 的 保持 时 间 ; 在 接口 











果 持 时 间 《人 
视图 上 的 配置 生效 。 


在 竞选 中 落 败 的 PIM 设 备 会 抑制 相应 下 游 接 口 向 该 网 段 
转发 组 播 数据 。 但 是 这 种 竞选 失败 的 状态 只 会 保持 一 段 时 间 ， 这 段 时 间 称 为 Assert 报 文 的 保持 时 间 。 超 时 





居 从 而 触发 新 一 轮 的 竞选 。 
说 明 该 网 段 中 还 存在 其 他 的 上 游 设 备 。 设 备 从 该 接口 发 出 Assert 
快 省 值 为 180s ) ， 可 在 全 局 PIM 视 图 下 或 接 
要 先 完成 PIM-DM 基 本 ] 




















但 在 调整 前 需 








功能 配置 。 








口 





长 






































的 配置 方法 是 在 具体 的 VLAN 接 口 或 者 Loopback 接 口 视图 下 使 用 pimholdtime assert interval 命 令 配置 Assert 报 


























文 的 保持 时 间 


时 时 间 是 180s， 分 别 可 | 























二 








， 取 值 范围 均 为 7 一 65 535 的 整数 秒 。 缺 省 情况 下 ， 交 换 机 上 所 有 PIM 接 口 保持 Assert 状 态 的 超 


jundo holdtime assert 和 undo pim holdtime assert 命 令 恢 复 超 时 时 间 为 缺 省 值 。 






































【示例 1】 在 PIM 视 图 中 全 局 配置 交换 机 保持 Assert 状 态 的 超时 时 间 为 100s。 
<HUAWEI> system-view 
[HUAWEI] multicast routing-enable 
[HUAWEI] pim 
[HUAWEI-pim] holdtime assert100 

【示例 2】 配 置 YLANIF100 接 口 的 保持 Assert 状 态 的 超时 时 间 为 100s。 
<HUAWEI>system-view 


[HUAWE 
[HUAWE 
[HUAWE 


























1] multicast routing-enable 
J] interfacevlanif 100 
I-Vlanif100] pim holdtime assert 100 


13.2.9 配置 PIM Silent 








使 能 PIM 








Silent 功 能 的 接口 会 禁止 接收 和 转发 任何 PIM 协 议 报 文 ， 删 除 该 接口 上 的 所 有 PIM 邻 居 以 及 





PIM 状 态 机 。 但 是 ， 该 接口 上 的 IGMP 功 能 不 受 影响 。 该 功能 仅 适 用 于 与 用 户主 机 网 段 直 连 的 PIM 设 备 接 


















































口 ， 且 该 用 户 








网 段 只 与 这 一 台 PIM 设 备 相 连 。 






































配置 接口 





















































为 PIM Silent 状 态 的 方法 很 简单 ， 只 需 在 对 应 的 VLAN 接 口 或 者 Loopback 接 口 视图 下 配置 pim 





全 已 


silent 命 令 ， 使 能 PIM Silent 功 能 即 可 。 


13.2.10 PIM-DM 管 理 





















































在 PIM 域内 的 所 有 设备 上 都 使 能 了 PIM-DM 及 相关 功能 之 后 ， 可 以 通过 一 系列 的 display 任 意 视图 命令 
查看 PIM 接 口 、PIM 邻 居 和 PIM 路 由 表 ， 以 及 其 他 功能 〈 如 剪 枝 、 尹 接 、 断 言 等 ) 参数 配置 信息 ， 以 验证 配 










































































reset 用 户 视图 命令 可 以 清除 指定 下 游 接口 的 PIM 路 由 表 项 。 




















置 结果 ， 使 用 
(1) 使 | 
定 接口 ， 或 者 








jdisplay pim interface [ interface-type interface-number |up |down ] [verbose ] 命令 查看 所 有 或 者 指 
所 有 状态 为 Up 或 者 Dwon 的 接口 的 PIM 信 息 。 




















(2) 使 用 


display pimneighbor [ neighbor-address | interface interface-type interface- number | verbose ] * 命 








令 查 看 指定 地 














址 或 者 (和 ) 指定 接口 上 的 详细 (选择 verbose 可 选项 时 ) 或 者 摘要 PIM 邻 居 信息 。 


























(3) 使 用 


address [mask 
register } |outg 
{dm | sm | ssm 


表 详 细 信 息 。 


display pimrouting-table [group-address [mask {group-mask-length | group- mask } ] | source- 
{ source-mask-length | source-mask } ] | incoming- interface { interface-type interface-number | 
oing-interface {include | exclude | match } { interface-type interface-number |register |none } |mode 
} | flags flag- valuelfsm ] * [outgoing-interface-number [number ] ] 命令 查看 符合 条 件 的 PIM 路 由 














(4) 使 ) 


address [mask 








jdisplay pim routing-tablebrief [ group-address [mask {group-mask-length |group-mask } ] | source- 


{source-mask-length | source-mask } ] | incoming- interface { interface-type interface-number | 








register } ] * 命 令 查 看 符合 条 件 的 PIM 路 由 表 摘 要 信息 。 








(5) 使 ) 


jdisplay pim control-message counters [message-type { assert | graft | graft- ack |hello | join-prune | 





state-refresh |bsr } | interface interface-type interface-number ] * 命 令 查 看 发 送 和 接收 PIM 控 制 报 文 的 数目 信息 。 






































(6) 使 ) 








jdisplay pim grafts 命 令 查 看 未 确认 的 PIM-DM 嫁 接 信息 。 














《7) 使 用 











4Dv o 











(8) 使 用 





米 个 公 


| graft-afk |hello ljoin-prune | state-refresh } ] * 命 令 





jdisplay pim control-message counters [message-type { assert | graft | graft- ack |hello | join-prune | 
state-refresh |bsr } | interface interface-type interface-number ] * 命 令 查 看 发 送 和 接收 PIM 控 制 报 文 的 数目 


信 








jdisplay pim invalid-packet [ interface interface-type interface-number |message- type { assert | graft 


查看 设备 接收 到 的 无 效 PIM 报 文 的 统 i 


十 信息 。 


(9) 执行 reset pimrouting-tablegroupgroup-addressmask {group-mask-length |group- mask } source Source- 


address interface interface-type interface-number 命 


13.2.11 PIM-DM 基 本 功能 配置 示 斧 











图 








13-5 所 示 为 一 个 用 户 比 较 密 集 的 小 型 


六 令 清 除 指 定 PIM 表 项 的 指定 下 游 接口 








的 PIM 状 态 。 


4 网 络 ， 用 户主 机 HostA、HostB 希 望 能 够 接收 到 Source 发 送 的 组 播 
























i SwitchA 
“PIM-DM 有 10.110.1.1/24 
DEN - 
SR 
VS GEO/0/1 
i VLANIF10 HostA 
以 192.168.5.1/24 » Receiver 
~ 1 
: 3 192.168.5.2/24 : 
i AN 
Source 5: 人 > SS VLANIF 
a : ~ B 
| J 本 本 本 > : 
SwitchD VLANIF60 VLANIESO 10,110.2.1/24: 
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192.168.3.1/24 
VLANIF50 
GE0/0/2 





SwitchC 
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GEO/O/I 
VLANIF40 
10.110.2.2/24. 







VLANIF40 : 








GEO/012 
: VLANIF70 VLANIF60 ”SwitchE VLANIF80 ; a | 
10.1103.1/24 192.168.4.1/24 GE0/0/2 192.168.2.1/24 ] 
VLANIF50 HostB 
193.168.3.2/24 a 


图 13-5 PIM-DM 基 本 功能 配置 示例 拓扑 结构 














1. 基本 配置 思路 分 析 













































































































































































本 示例 的 要 求 很 简单 ， 就 是 要 求 在 这 样 一 个 密集 型 小 型 组 播 网 络 中 ， 各 组 播 组 成 员 可 以 接收 到 组 播 源 
发 来 的 组 播 数 据 。 所 以 可 以 使 用 PIM-DM 协 议 为 网 络 中 的 用 户主 机 提供 组 播 服务 ， 使 得 加 入 同一 组 播 组 的 所 
有 用 户主 机 能 够 接收 组 播 源 发 往 该 组 的 组 播 数 据 。 具 体 配 置 任务 如 下 。 

(1) 按照 图 中 标注 配置 交换 机 各 VLAN 接 口 IP 地 址 和 单 播 路 由 协议 ， 因 为 组 播 域内 路 由 协议 PIM 依 赖 
单 播 路 由 协议 ， 单 播 路 由 是 组 播 协 议 正常 工作 的 基础 。 

(2) 在 所 有 提供 组 播 服务 的 交换 机 上 使 能 组 播 路 由 功能 ， 并 在 各 VLAN 接 口上 使 能 PIM-DM 功 能 。 使 




















能 PIM-DM 功 能 之 后 才能 配置 PIM-DM 的 其 他 功能 。 



























































(3) 在 与 主机 侧 相 连 的 交换 机 VLAN 接 口 
侧 需 同时 配置 PIM-DM 和 IGMP， 必 须 先 使 能 PIM-DM， 再 使 和 
2. 具体 配置 步骤 














上 使 能 IGMP， 用 于 维护 组 成 员 关 系 。{ 


























晶 是 ， 如 果 用 户主 机 
EIGMP 。 






































(1) en ts 口 的 人 P 地 址 和 掩 码 ， 各 交换 机 间 采 用 OSPF 进 行 互 连 ， 确 保 网 络 中 各 交换 机 间 能 够 
在 网 络 层 互 通 ， 并 且 之 间 能 够 借助 单 播 路 由 协议 实现 动态 路 由 更 新 。 因 为 SwitchA 、SwitchB、SwitchC、 
SwitchD 和 i 台 交 换 机 上 的 配置 一 样 ， 下 面 仅 以 SwitchA 上 的 配置 为 例 进行 介绍 

[SwitchA] vlan batch 10 20 30”#--- 批 量 创建 VLAN 10、VLAN 20 和 VLAN 30 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] ip address 192.168.5.1 24 #--- 为 VYLANIF10 接 口 配 置 IP 地 址 
[SwitchA-Vlanif10] guit 
[SwitchA] interface vlanif 20 
[SwitchA-Vlanif20] ip address 10.110.1.1 24 
[SwitchA-Vlanif20] quit 
[SwitchA] interfacevlanif 30 
[SwitchA-Vlanif30] ip address 192.168.1.1 24 
[SwitchA-Vlanif30] quit 
[SwitchAj] interfacegigabitethernet 0/0/1 
[SwitchA-GigabitEthermet0/0/1] port hybrid tagged vlan 10”#--- 把 GE0/0/1 接 口 以 带 标 签 方式 加 入 VLAN 10 
[SwitchA-GigabitEthemet0/0/1] port hybrid pvid vlan 10”#--- 配 置 GE0/0/1 接 口 的 缺 省 VLAN 为 VLAN 10 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port hybrid tagged vlan 20 
[SwitchA-GigabitEthernet0/0/2] port hybrid pvid vlan 20 
[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interfacegigabitethernet 0/0/3 
[SwitchA-GigabitEthernet0/0/3] port hybrid tagged vlan 30 
[SwitchA-GigabitEthernet0/0/3] port hybrid pvid vlan 30 
[SwitchA-GigabitEthernet0/0/3] quit 
[SwitchA] ospf 
[SwitchA-ospf-1] area 0 #-- 进 入 OSPF 骨 干 区 域 
[SwitchA-ospf-1-area-0.0.0.0] network192.168.5.0 0.0.0.255 #--- 宣 告 192.168.5.0/24 网 络 
[SwitchA-ospf-1-area-0.0.0.0] network192.168.1.0 0.0.0.255 
[SwitchA-ospf-1-area-0.0.0.0] network10.110.1.0 0.0.0.255 
(2) 在 所 有 交换 机 使 能 组 播 路 由 功能 ， 并 在 各 VLAN 接口 上 使 能 PIM-DM 功能 。 同 样 因为 SwitchA、 


SwitchB、SwitchC、SwitchD 和 SwitchE 上 的 配置 方法 一 样 ， 所 以 下 面 也 仅 以 SwitchA 上 的 配置 为 例 进行 介 
绍 。 


























































































































































































































[SwitchA] multicast routing-enable 
[SwitchA] interface vlanif 10 
[SwitchA-Vlanif10] pim dm 
[SwitchA-Vlanif10] quit 
[SwitchA] interfacevlanif 20 
[SwitchA-Vlanif20] pim dm 
[SwitchA-Vlanif20] quit 


[SwitchA] interfacevlanif 30 

[SwitchA-Vlanif30] pim dm 

[SwitchA-Vjlanif30] quit 

(3) 在 SwitchA 连 接 用 户主 机 的 接口 上 使 能 IGMP 功 能 。SwitchB 和 SwitchC 上 的 配置 过 程 与 SwitchA 上 

的 配置 相似 ， 配 置 过 程 略 。 

[SwitchA] interface vlanif 20 

[SwitchA-Vlanif20] igmp enable 

配置 好 后 ， 可 以 使 用 display pim interface 命 令 查 看 接口 上 PIM 的 配置 和 运行 情况 ， 以 验证 配置 结果 。 例 
如 SwitchC 上 PIM 的 显示 信息 如 下 ， 表 明 接 口上 的 PIM 协 议 已 经 运行 。 

<SwitchC>display pim interface 
































































































































VPN-Instance: public net 


Interface State NbrCnt HelloInt DR-Pri DR-Address 
Vlanif40 up 0 30 1 10.110.2.2 (local) 
Vlanif50 up 1 30 下 192.168.3.1 (local) 











可 使 用 display pim routing-table 命 令 查 看 PIM 协 议 组 播 路 由 表 。 假 设 组 播 源 〈10.110.3.100/24) 已 向 组 
播 组 (225.1.1.1/24)〉 发送 信息， 而 HostA、HostB 都 加 入 了 组 播 组 (225.1.1.1/24) 。 下 面 是 SwitchA 交换 机 
上 的 显示 信息 ， 可 以 看 到 这 个 组 播 组 。 

[SwitchA] display pim routing-table 


























VPN-Instance: public net 
Total 0 (*, G) entry; 1 (S, G) entry 
(10.110.3.100, 225.1.1.1) 
Protocol:pim-dm, Flag: ACT 
UpTime: 00:00:29 
Upstream interface: vlanif10 
Upstream neighbor: 192.168.1.2 
RPF prime neighbor: 192.168.1.2 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: vlanif20 
Protocol:pim-dm, UpTime: 00:00:29, Expires:- 


13.3 PIM-SM _(IPv4) 配置 与 管理 




















PIM-SM 属 于 稀疏 模式 的 域内 组 播 路 由 协议 。 它 与 PIM-DM 不 同 的 是 ，PIM-SM 不 会 将 组 播 数 据 扩 散 到 
全 网 ， 而 只 将 组 播 数 据 传输 到 有 组 成 员 的 网 络 ， 一 般 用 于 规模 较 大 、 组 成 员 分 布 稀疏 的 组 播 网 络 ， 且 
PIM-SAM 同 时 适用 于 ASM 模 型 和 SSM 模 型 (PIM-DM 仅 适用 于 ASM 模 型 ) 。 

与 PIM-DM ASM 以 组 播 源 为 转发 中 心 和 SPT 路 径 起 点 不 同 的 是 ， 在 PIM-SM ASM 模 型 中 ，RP 是 网 络 的 
转发 中 心 和 SPT 路 径 的 起 点 ， 网 络 中 所 有 PIM 路 由 器 都 知道 RP 的 位 置 。 当 网 络 中 出 现 组 成 员 时 ， 连 接 组 成 员 
的 最 后 一 跳 PIM 路 由 器 向 RP 方 向 发 送 Join 信 息 ， 然 后 沿 着 到 达 RP 单 播 路 由 逆向 路 径 向 组 成 员 端 传递 ， 并 逐 
路 创建 〈*，G) 表 项 ， 生 成 一 棵 以 RP 为 根 的 RPT， 所 以 它 采用 “ 拉 ” (Pull) 模式 来 转发 组 播报 文 ， 即 由 组 








































































































































































































成 员 主动 申请 。 当 网 络 中 出 现 活跃 的 组 播 源 时 ， 第 一 跳 PIM 路 由 器 将 组 播 信息 封装 在 Register 报 文中 发 往 
RP， 在 RP 上 创建 0(S，G) 表 项 ， 注 册 源 信息 。 然 后 ，RP 会 将 注册 信息 中 的 组 播 信息 解 封装 ， 沿 着 RPT 转 发 
到 有 组 成 员 的 网 段 。 有 关 PIM-SM SSM 的 工作 原理 参见 本 书 第 12 章 12.3.3 节 。 

如 果 当 前 RP、RPT 负 担 较 重 ， 可 通过 以 下 SPT 切 换 方式 减轻 压力 。 

(1) RP 向 组 播 源 方向 发 送 Join 信 息 ， 构 建 “ 源 -RP” 的 SPT。 

(2) 组 成 员 端 DR 向 组 播 源 方 向 发 送 Join 信 息 ， 构 建 < 源 -组 成 员 ” 的 SPT。 

图 13-6 所 示 为 一 个 SPT 切 换 示例 ， 最 终 所 有 组 播 成 员 都 采用 以 RP 为 核心 的 SPT 路 径 进 行 数据 转发 (如 左 
图 所 示 ，SwitchB 为 RP) ， 后 面 SwitchC 经 过 向 源 方向 的 SPT 切 换 ， 最 终 为 HostA 生成 了 男 一 条 不 经 过 RP 的 
新 路 径 〈 如 右 图 所 示 ) ， 减 经 了 RP 的 压力 。 
在 SSM 模 型 中 ， 网 络 用 户 能 够 预先 知道 组 播 源 的 具体 位 置 。 因 此 用 户 在 加 入 组 播 组 时 ， 可 以 明确 指定 
从 哪些 源 接收 信息 。 所 以 在 SSM 模 型 中 ， 与 ASM 模 型 的 最 大 区 别 就 是 SSM 模 型 中 无 需 维 护 RP、 无 需 构 建 
RPT (汇集 点 树 ) 、 无 需 注 册 组 播 源 ， 可 以 直接 在 源 与 组 成 员 之 间 建 立 SPT 。 组 成 员 端 DR 了 解 到 用 户 的 
需求 后 ， 直 接 向 组 播 源 方向 发 送 Join 信 息 。Join 信 息 按照 到 达 组 播 源 的 单 播 路 由 路 径 逐 跳 向 上 传输 ， 在 源 与 
组 成 员 之 间 建 立 SPT。 有 关 PIM-SM SSM 的 工作 原理 参见 本 书 第 12 章 12.3.4 节 。 

如 图 13-7 所 示 ，HostA、HostB 都 已 经 加 入 了 组 播 组 G，HostA 需 要 接收 S1 的 组 播 数 据 ，HostB 需 要 接收 
S2 的 组 播 数据 ， 各 自 的 组 成 员 端 DR 向 各 自 源 方向 发 送 Join 信 息 ， 构 建 SPT。 
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SPT 切 换 前 的 单 SPT 路 径 SPT 切 换 后 的 双 SPT 路 径 
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图 13-6 ASM 模 型 SPT 切 换 前 后 对 比 示 意图 
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图 13-7 SSM 模 型 中 SPT 构 建 示意 图 








13.3.1 PIM-SM (IPv4) 特性 的 产品 支持 











在 PIM-SM (IPv4) 中 支持 的 产品 特性 有 PIM-SM for ASM、PIM-SM for SSM、 调 整 PIM-SM 控 制 参 
数 、PIM BFD、PIM GR、PIM Silent。 但 S2700/3700 系 列 交 换 机 不 支持 PIM GR、PIM Silent 特性 。 下 再 
分 别 对 这 些 PIM-SM 特 性 予以 简单 介绍 。 

1. PIM-SM for ASM 

ASM 模 型 中 ， 设 备 支 持 的 PIM-SM 基 本 特性 如 下 。 

e 静态 /动态 RP (S2700/3700 系 列 交 换 机 不 支持 动态 RP ) 。 

e BSR 管 理 域 (S2700/3700 系 列 交换 机 不 支持 ) 。 

e SPT 切 换 条 件 的 配置 。 

e 源 注 册 控 制 参数 的 调整 。 

e C-RP/C-BSR 参 数 的 调整 (S2700/3700 系 列 交 换 机 不 支持 ) 。 

2. PIM-SM for SSM 
在 SSM 模 型 中 ， 设 备 支 持 通过 配置 SSM 组 策略 来 指定 SSM 组 地 址 范围 。 
3. 调整 PIM-SM 控 制 参 数 
在 配置 ASM 或 SSM 的 PIM-SM 基 本 功能 后 ， 通 过 设备 提供 的 缺 省 值 ，PIM-SM 域 就 可 以 正常 工作 ， 将 组 
播 源 发 出 的 组 播 数 据 分 发 到 组 成 员 网 段 。 同 时 也 可 以 根据 实际 需要 ， 对 表 13-12 所 示 的 PIM-SM 控 制 参数 进 
行 调整 ， 多 数 参 数 与 13.2.1 节 表 13-6 中 所 列 的 控制 参数 一 样 ， 只 是 在 PIM-SM 网 络 中 多 了 “DR 竞选 控制 参 
数 ? 和 “组 成 员 加 入 控制 参数 ”"， 而 少 了 PIM-DM 网 络 中 的 “嫁接 控制 参数 ?和 “状态 刷新 控制 参数 ”。 
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表 13-12 可 调整 的 PIM-SM 控 制 参 数 








参数 说 明 

组 播 源 设备 可 以 基于 组 播 源 来 控制 组 播报 文 的 转发 。 这 样 做 一 方面 有 助 于 数据 流量 控制 ， 
控制 参数 另 一 方面 可 以 限定 下 游 组 播 组 成 员 能 够 获得 的 信息 ， 以 提高 安全 性 
设备 间 通 过 交互 Hello 报 文 建立 PIM 邻居 关系 ， 协 商 各 类 控 数 ， 这 样 一 来 可 以 
基于 Hello 报 文 来 控制 邻居 间 的 关系 。 同 时 可 以 配置 灵活 的 邻居 控制 策略 ， 防 止 非 
| 法 邻居 关系 的 建立 ， 以 提高 安全 性 
无 论 是 与 组 播 源 相连 的 网 络 ， 还 是 与 组 成 员 相 连 的 网 络 ， 都 需要 选举 DR, 由 DR 负 
责 转发 组 播 源 或 组 成 员 发 来 的 组 播报 文 。 可 以 根据 实际 需要 调整 设备 上 DR 的 优先 
级 ; 或 者 由 DR 变 为 非 DR 时 的 延迟 切换 时 间 
加 入 和 前 枝 | 设备 向 上 游 发 送 Join 信息 请 求 转发 组 播 数据 , 发 送 Prune 信息 请 求 停止 转发 组 播 数 据 。 
控制 参数 ”| 可 根据 实际 需要 调整 加 入 或 剪 枝 过 程 的 控制 参数 ， 达 到 控制 组 播报 文 转发 的 目的 











邻居 
控制 参数 


























当 设备 从 下 游 接口 接收 到 组 播 数据 时 ， 说 明 该 网 段 中 还 存在 其 他 的 上 游 设 备 。 设 备 
可 从 该 接口 发 出 Assert 报 文 ， 参 与 竞选 唯一 上 游 的 转发 者 。 可 根据 实际 需要 调整 发 
送 断 言 的 间隔 ， 来 控制 断言 竞选 的 周期 




















4. PIM BFD 
正常 情况 下 ， 如 果 共 享 网 段 上 的 当前 DR 每 个 网 段 都 会 选举 一 个 DR 的 ) 出 现 故 障 ， 其 他 PIM 邻居 会 
等 到 邻居 关系 超时 才 触 发 新 一 轮 的 DR 竞选 过 程 ， 这 样 组 播 数据 传输 中 断 的 时 间 会 比较 长 〈 不 小 于 邻居 关 

系 的 超时 时 间 ， 通 常 是 秒 级 ) 。 当 使 能 BFD 功 能 后 ， 其 故障 检测 可 以 达到 毫秒 级 ， 可 大 大 缩短 因 DR 出 现 故 
障 而 使 组 播 数据 传输 中 断 的 时 间 。 因 为 BFD 功 能 可 快速 地 检测 共享 网 段 上 PIM 邻 居 的 状态 ， 当 检测 到 对 端 故 
障 后 立即 上 报 PIM 模块 ， 然 后 立即 触发 新 一 轮 的 DR 竞选 过 程 ， 而 不 是 等 到 邻居 关系 超时 。 

































































































































































PIM BFD 功能 也 适用 于 共享 网 段 上 Assert 〈 上 断言 ) 竞选 过 程 ， 以 快速 检测 Assert Winner 接 口 故 障 。 
5. PIM GR 
在 堆 琶 系统 中 有 时 候 会 进行 主 备 倒 换 。 如 果 堆 有 登 系统 中 有 组 播 业 务 在 运行 ， 在 主 交 换 机 和 备 交 换 机 进 




































































行 倒 换 后 ， 新 的 主 交换 机 将 重新 学 习 PIM 路 由 表 及 组 播 转 发 表 ， 这 样 会 造成 组 播 流量 在 学 习 期 间 的 断 流 。 在 
堆 受 系统 中 配置 PIM GR 〈Graceful Restart) 功能 后 ， 主 交换 机 会 向 备 交 换 机 备份 PIM 路 由 表 项 、 组 播 转发 
表 以 及 需要 向 上 游 发 送 的 Join/Prune 信息 。 这 样 在 主 备 倒 换 后 ， 新 的 主 交换 机 就 可 以 主动 快速 地 向 上 游 发 送 
Join 信息 ， 维 持 上 游 的 加 入 状态 。 同 时 ， PIM 协议 向 所 有 使 能 了 PIM-SM 的 交换 机 发 送 携带 新 Generation ID 
的 Hello 报 文 ， 当 下 游 交 换 机 发 现 其 邻居 的 Generation ID 发 生 了 变化 ， 便 向 邻居 发 送 Join/Prune 报 文 以 帮助 其 
重新 建立 路 由 表 项 ， 从 而 保证 转发 平面 组 播 数 据 的 不 间断 转发 。 但 S2700/3700 系 列 交 换 机 不 支持 该 特性 。 

另外 ， 在 扒 受 系统 中 配置 PIM GR 功能 后 ， 如 果 网 络 中 使 用 的 是 动态 RP， 在 网 络 中 的 DR 或 次 DR 收 到 
Generation ID 改变 的 Hello 报 文 后 ， 会 向 发 生 主 备 倒 换 的 堆 登 系统 单 播发 送 Bootstrap 报 文 〈 自 举报 文 ) ， 堆 
佬 系统 可 从 该 自 举 报 文中 学 习 并 恢复 RP 信息 。 如 果 堆 又 系统 未 能 从 自 举 报 文 中 学 习 到 网 络 中 的 RP 信息 ， 
则 还 可 从 下 游 发 送 的 Join/Prune 报 文中 获取 RP 信息 ， 重 新 创建 组 播 路 由 表 。 

6. PIM Silent 

PIM Silent 功 能 用 来 禁止 用 户 侧 组 播 设备 接口 接收 和 转发 任何 PIM 协 议 报 文 ， 并 删除 该 接口 上 的 所 有 
PIM 邻 居 以 及 PIM 状 态 机 ， 以 防止 恶意 的 PIM Hello 报 文 攻击 。 详 情 可 参见 本 章 13.2.1 节 相关 介绍 。 

与 PIM-SM 相 关 的 功能 和 参数 的 缺 省 配置 如 表 13-13 所 示 。 
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表 13-13 PIM-SM (IPv4) 相关 功能 和 参数 的 缺 省 配置 





参数 


缺 省 值 





组 播 路 由 功能 


未 使 能 





PIM-SM 


未 使 能 





静态 RP 地 址 
C-RP 接口 


未 配置 
未 指定 





C-BSR 接口 


未 指定 





DR 优先 级 





SPT 切换 条 件 


RP 或 组 成 员 端 DR 接收 到 第 一 个 组 播 数据 报 文 时 就 进行 SPT 切换 





SSM 组 地 址 范围 


232.0.0.0/8 





PIM BFD 


未 使 能 





PIM GR 


未 使 能 





PIM Silent 





13.3.2 ASM 模 型 PIM-SM 的 配置 任务 











未 使 能 








通过 配置 ASM 模 型 的 PIM-SM， 可 为 用 户主 机 提供 任意 源 组 播 服务 ， 加 入 同一 组 播 组 的 用 户主 机 都 能 收 
到 任意 源 发 往 该 组 的 组 播 数据 。 与 PIM-DM 网 络 一 样 ， 在 配置 ASM 模 型 的 PIM-SM 之 前 也 需 配 置 单 播 路 由 协 
议 ， 保 证 网 络 内 单 播 路 由 畅通 。 
ASM 模 型 的 PIM-SM 的 配置 任务 如 下 ， 其 中 “使 能 PIM-SM” 和 “配置 RP” 为 必 选 配置 任务 ， 其 他 的 均 为 可 
选 配置 任务 。 
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1. 使 能 PIM-SM 
PIM-SM 网 络 中 ， 在 





使 能 了 组 播 路 上 





























能 PIM-DM 和 PIM-SM 。 建 议 将 处 于 PIM-SM 域内 的 所 有 接 











居 关 系 。 
如 果 接 





2. 配置 RP 
配置 RP 有 手工 静态 配置 和 BSR 机 制 动 态 选举 两 种 方式 。 手 了 


之 间 频 繁 的 信息 交互 而 占用 带 
C-RP 可 以 保证 组 播 数 据 转发 
静态 RP 和 动态 RP 可 同时 











节 宽 。 通 过 BSR 机 
的 可 靠 性 。 
[配置 ， 但 此 时 静态 RP 由 于 4 



























































要 确保 各 组 播 设备 间 的 RP 信息 一 致 ， 否 则 容易 导致 网 络 故障 。 


表 13-14 列 出 了 C-BSR、C-RP 部 分 参数 的 缺 省 配置 。 


3. 


表 13-14 C-BSR、C-RP 部 分 参数 的 4 


C-BSR 优先 级 









































昌 功 能 后 ， 首 先 要 使 能 的 就 是 PIM-SM 功 能 ， 但 设备 上 不 能 同时 使 
口 都 使 能 PIM-SM， 以 确保 与 相连 PIM 设 备 都 能 


口上 需要 同时 使 能 PIM-SM 和 IGMP， 必 须 先 使 能 PIM-SM， 再 使 能 IGMP 。 


[方式 静态 配置 RP 可 以 避免 C-RP 与 BSR 


判 动 态 选 举 RP， 可 以 避免 手工 配置 的 繁琐 ， 同 时 配置 多 人 台 




















决 省 优先 级 较 低 而 被 当 作 备份 RP 。 同 时 配置 时 需 








C-BSR 携带 的 哈 希 掩 码 长 度 


BSR 报 文 分 片 功 能 


未 使 能 





静态 RP 组 播 组 策略 


没有 组 播 组 策略 ， 即 允许 接收 任意 组 地 址 的 组 播报 文 





C-RP 组 播 组 策略 


没有 组 播 组 策略 ， 即 允许 接收 任意 组 地 址 的 组 播报 文 





C-RP 优先 级 





C-RP 的 宣告 报 文 发 送 间隔 





C-RP 的 宣告 报 文保 持 时 间 


(可 选 ) 配置 BSR 管 理 域 




















为 了 更 有 效 地 管理 PIM-SM 域 ， 可 将 PIM-SM 域 划分 为 多 个 BSR〔 自 举 路 由 器 管理 域 和 一 个 Global 域 。 


























每 个 BSR 管 理 域 都 维护 一 个 BSR， 服 务 于 自己 特定 地 址 范围 的 组 播 组 ，Global 域 也 维护 一 个 BSR， 为 剩余 不 
属于 任何 BSR 管 理 域 的 组 播 组 服务 。 由 于 一 台 设 备 只 能 加 入 一 个 管理 域 ， 因 此 ， 各 个 管理 域 转发 组 播报 文 
互 不 干涉 ; Global 可 以 通过 任意 管理 域内 的 设备 进行 报 文 转发 。 

BSR 管 理 域 可 服务 的 最 大 组 地 址 范围 为 239.0.0.0 一 239.255.255.255。 该 段 地 址 可 重复 使 用 ， 相 当 于 每 个 
BSR 管 理 域 的 私有 组 地 址 。 

4. (可 选 ) 配置 RPT 不 向 SPT 切 换 

缺 省 情况 下 ， 组 成 员 端 DR 在 接收 到 第 一 份 组 播 数 据 报 文 后 都 会 向 源 方向 发 起 SPT 切 换 。 如 果 不 希 望 组 
成 员 端 DR 发 起 SPT 切 换 ， 一 直 用 RPT 传 输 组 播 数据 ， 可 配置 RPT 不 向 SPT 切 换 功 能 

5. (可 选 ) 调整 注册 控制 参数 

源 端 DR 在 收 到 组 播 源 发 送 来 的 组 播 数 据 后 ， 会 将 其 封装 在 注册 报 文中 转发 给 RP， 使 得 相应 组 播 源 可 以 
在 RP 上 注册 。 注 册 报 文 控 制 参数 可 在 RP 和 源 端 DR 两 个 位 置 进行 调整 。 

在 源 端 DR 上 可 进行 如 下 调整 。 

(1) 配置 注册 Register 抑 制 时 间 〈 缺 省 为 60s )。 源 端 DR 在 收 到 RP 发 来 的 Register-stop 〈 注 册 停止 ) 报 
文 后 ， 在 注册 抑制 时 间 内 停止 向 RP 发 送 注册 报 文 。 超 时 后 ， 如 果 源 端 DR 没有 收 到 后 续 的 注册 停止 报 文 ， 
则 恢复 相应 注册 报 文 的 转发 。 

(2) 配置 发 送 空 注册 报 文 时 间 间 隔 〈 缺 省 为 5s ) 。 如 果 注 册 抑 制 时 间 过 大 或 过 小 ， 都 会 影响 组 播 数据 
的 正常 转发 。 通 过 在 抑制 期 间 发 空 注册 报 文 ， 可 以 改善 这 种 影响 。 

(3) 配置 仅 根据 注册 报 文 头 来 计算 校 验 和 《【 缺 省 RP 根 据 整 个 注册 报 文 来 计算 校 验 和 ) ， 这 样 可 减少 
计算 校 验 和 的 时 间 ， 提 高 注册 报 文 封装 组 播 数 据 的 效率 。 

(4) 配置 注册 报 文 的 源 地 址 。 如 果 当 前 源 DR 向 RP 发 送 的 注册 报 文 的 源 地 址 对 于 RP 来 说 不 是 网 络 中 
唯一 的 耳 地 址 ， 或 者 RP 上 配置 了 过 滤 策 略 将 该 地 址 已 过 滤 掉 ，RP 都 不 会 接收 到 注册 报 文 。 此 时 ， 通 过 重新 
前 定 合理 的 源 PP 地址 ， 可 解决 此 问题 。 
在 RP 上 可 配置 过 滤 注 册 报 文 的 规则 《〈 缺 省 没有 配置 过 滤 策 略 ， 即 允许 接收 任意 组 地 址 的 注册 报 文 
) ， 可 限定 注册 报 文 的 地 址 范围 ， 提 高 网 络 安全 性 。 

6. (可 选 ) 调整 C-RP 控 制 参数 
在 接口 上 配置 了 C-RP (候选 RP) 后 ，C-RP 会 周期 性 〈 缺 省 为 60s ) 地 向 BSR 发 送 Advertisement 报 文 
(以 下 称 宣告 报 文 ) ， 报 文 携带 该 C-RP 优 先 级 、 该 宣告 报 文 的 保持 时 间 。BSR 在 收 到 该 报 文 后 ， 启 动 C-RP 
超时 定时 器 ， 时 间 设 为 宣告 报 文 的 保持 时 间 ( 缺 省 为 150s ) 。 在 超时 前 ，BSR 将 宣告 报 文中 携带 的 C-RP 信 
息 汇总 成 RP-Set 信 息 ， 封 装 在 自 举报 文中 向 PIM 域 中 的 所 有 PIM 路 由 器 发 送 。 如 果 超 时 后 BSR 仍 没有 收 到 来 
自 某 C-RP 后 续 的 宣告 报 文 ， 则 认为 目前 网 络 中 该 C-RP 失 效 或 不 可 达 。 所 以 C-RP 发 送 宣 告 报 文 时 间 间 隔 必 
须 小 于 宣告 报 文 的 保持 时 间 。 

C-RP 发 送 宣告 报 文 时 间 间 隔 、C-RP 优 先 级 、 宣 告 报 文 的 保持 时 间 都 可 进行 手工 配置 。 有 时 候 为 了 防止 
非法 C-RP 欺 骗 ， 还 可 在 BSR 上 设置 合法 的 C-RP 地 址 范围 ， 只 接收 该 地 址 范围 内 C-RP 的 宣告 报 文 。 

7. (可 选 ) 调整 C-BSR 控 制 参 数 

BSR 由 C-BSR《〈 候 选 BSR) 之 间 自 动 选 举 产生 。 在 选举 开始 时 ， 每 个 C-BSR 都 认为 自己 是 本 PIM-SM 域 
的 BSR， 向 域内 所 有 PIM 路 由 器 发 送 自 举 报 文 。C-BSR 在 接收 到 其 他 C-BSR 发 来 的 自 举报 文 后 ， 首 先 比较 二 
者 的 优先 级 ， 若 优先 级 相同 ， 则 再 比较 三 者 IP 地 址 ，IP 地 址 较 大 者 获胜 。 获 胜 者 将 成 为 域内 的 BSR， 它 会 将 
自己 的 也 地 址 和 RP-Set 信 息 封装 在 自 举 报 文中 向 域内 发 送 。 自 举报 文 还 携带 哈 希 掩 码 信 息 ， 以 备 在 C-RP 竞 
选中 进行 哈 希 计算 时 所 需 。 

BSR 周 期 性 ( 缺 省 值 为 60s ) 地 发 送 自 举 报 文 ， 其 他 的 C-BSR 收 到 该 报 文 后 会 启动 超时 定时 器 ， 时 间 设 
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为 自 举 报 文 的 保持 时 间 《〈 缺 省 值 为 150s ) ; 超时 后 如 果 没 有 接收 到 BSR 发 来 的 自 举 报 文 ，C-BSR 之 间 会 触 
发 新 一 轮 的 BSR 选 举 过 程 。 所 以 BSR 发 送 自 举报 文 的 时 间 间 隔 必须 要 小 于 自 举 报 文 的 保持 时 间 。 

C-BSR 优 先 级 、BSR 哈 希 掩 码 、BSR 发 送 自 举报 文 时 间 间 隔 、 自 举报 文 的 保持 时 间 都 可 进行 手工 配置 。 
有 时 候 为 了 防止 非法 BSR 坎 骗 ， 还 可 在 接口 使 能 PIM-SM 的 设备 上 设置 合法 的 BSR 地 址 范围 ， 只 接收 该 地 址 
范围 内 BSR 的 自 举报 文 。 


























13.3.3 配置 ASM 模 型 PIM-SM 








上 节 介 绍 的 ASM 模型 PIM-SM 网 络 的 各 项 配置 任务 的 具体 配置 步骤 如 表 13-15 所 示 。 





公共 配置 


表 13-15 ASM 模 型 的 PIM-SM 的 配置 步骤 


system-view 

例如 : <HUAWEI> 
system-view 

multicast routing-enable 
例如 : [HUAWEH 
multicast routing-enable 


进入 系统 视图 


全 局 使 能 组 播 路 由 功能 。 其 他 说 明 参 见 13.1.2 节 表 
13-1 中 的 第 2 步 





interface interface-type 
interface-nmumber 

例如 : [HUAWEJ 
interface vlanif 10 


键入 要 配置 PIM-SM 功能 的 VLAN 或 者 Loopback 
接口 ， 进 入 接口 视图 





pim sm 
例如 : [HUAWEI-Vlanif10] 
pim sm 


在 以 上 接口 上 使 能 PIM-SM 功能 。 在 接口 上 使 能 了 
PIM-SM 功能 后 ,交换 机 才能 与 相 邻 的 设备 建立 PIM 
邻居 ， 对 来 自 PIM 邻居 的 协议 报 文 进行 处 理 
缺 省 情况 下 ， 接 口上 未 使 能 PIM-SM， 可 使 用 undo 
pim sm 命令 恢复 缺 省 的 去 使 能 状态 





配置 
静态 RP 








quit 
例如 : [HUAWEI-Vlanif10] 
quit 


pim 
例如 : [HUAWEI] pim 


static-rp rp-address 

[ basic-acl-number ] 

| preferred ] 

例如 : [HUAWEI-pim] 
static-rp 11.110.0.6 2001 
preferred 


退出 接口 视图 ， 返 回 系统 视图 


进入 PIM 视图 


指定 静态 RP 地 址 。 当 网 络 内 仅 有 一 个 RP 时 ,可 以 
手工 配 痪 静态 RP 而 不 使 用 动态 RP， 这 样 可 以 避免 
C-RP 和 BSR 之 问 频 繁 的 信息 交互 占用 带宽 。 命 令 
中 的 参数 和 选项 说 明 如 下 。 

(1) rp-address: 指定 静态 RP 的 中 地 址 

(2) basic-acl-number: 用 于 控制 所 配置 的 静态 RP 
可 服务 的 组 播 组 范围 的 基本 ACL 过滤 的 是 组 播 组 
地 址 )， 取 值 范围 为 2 000 一 2 999 

(3) preferred: 可 选项 ， 指 定 此 处 配置 的 静态 RP 
优先 〈 缺 省 情况 下 ， 动 态 RP 优先 于 静态 RP) 
【注意 】 委 在 一 个 PIM-SM 域内 所 有 的 PIM 设备 上 
都 需 指定 相同 的 静态 RP 地 址 , 保证 静态 RP 正常 运 
行 。 如 果 配 置 的 静态 RP 地 址 是 本 机 某 个 状态 为 UP 
的 接口 地址 ， 本 机 就 作为 静态 RP， 但 作为 静态 RP 
的 接口 不 必 使 能 PIM 协议 

如 果 没有 指定 ACL， 则 配置 的 静态 RP 为 所 有 组 播 
组 224.0.0.0/4 服务 ; 如 果 指 定 了 ACL, 但 没有 配置 
规则 ， 则 所 配置 的 静态 RP 为 所 有 组 224.0.0.0/4 服 
务 ， 否则 配置 的 静态 RP 只 为 能 够 通过 该 ACL 过 渡 
的 组 播 组 服务 

重复 执行 此 命令 , 会 配置 多 个 静态 RP, 如 果 存 在 多 个 
静态 RP 为 某 个 组 播 组 服务 的 情况 ， 则 选择 中 地 址 最 
大 的 RP 为 该 组 服务 。 当 静态 RP 引用 的 ACL 规则 发 
生变 化 时 ， 需 要 重新 为 所 有 组 选择 静 志 RP。 对 于 具有 
相同 1p-address 地 址 的 配置 ， 新 配置 将 禾 盖 旧 配 置 

缺 省 情况 下 ， 未 配置 静态 RP， 可 用 undo static-rp 
rp-address 命令 删除 指定 的 静态 RP 





(可 选 ) 配 
置 动态 RP 








c-bsr interface-type 
interface-number 
[hash-length [ prioritry ] 


] 
例如 : [HUAWEI-pim] 
c-bsr vlanif 10 


bsm semantic 
fragmentation 
例如 ，[HUAWELpimjbsm 


Semantic fragmentation 


c-rp interface-type 
interface-number 

[ group-policy 
basic-aci-munber | priority 
priority | holdtime 
hold-interval | advertise 
ment-interval 
adv-interval ] * 

例如 : [HUAWELpimje-mp 
loopback 0 group-policy 
2069 priority 10 


配置 C-BSR， 配 置 动态 RP 首先 要 配置 的 是 
C-BSR， 选 举 确定 BSR。 在 一 个 PIM-SM 域 中 ， 

需要 配置 一 个 或 多 个 C-BSR, C-BSR 之 间 通 过 自 
动 选举 产生 BSR。BSR 负责 收集 C-RP 发 来 的 
Advertisement 报 文 ， 并 将 其 中 C-RP 的 信息 汇总 
成 RP-set 向 域内 所 有 设备 发 送 。 建议 在 组 播 数据 
流量 汇聚 的 设备 上 配置 C-BSR。 命令 中 的 参数 说 
明 如 下 。 

(1) mterface-type interface-number: 指定 要 配置 
为 C-BSR 的 接口 ， 也 只 能 是 VLAN 接口 或 者 
Loopback 接口 

(2) hash-length: 可 选 参数 ， 指 定 该 C-BSR 的 
蛤 希 掩 码 长 度 ， 取 值 范围 为 0 一 32 的 整数 ， 缺 
省 值 为 30。 该 掩 码 将 被 带 入 哈 希 函数 ， 用 于 
RP 竞选 

(3) priority: 可 选 参数 ,指定 该 C-BSR 的 优先 
级 值 范围 为 0 一 255 的 整数 ， 缺 省 值 为 0。 值 越 
大 优先 级 越 高 

缺 省 情况 下 ， 未 配置 C-BSR， 可 用 undo c-bsr 
命令 恢复 缺 省 配置 

(可 选 ) 使 能 BSR 报 文 分 片 功能 

【说 明 〗 交换 机 发 送 BSR 报 文 时 需要 携带 网 络 中 
所 有 的 C-RP 信息 。 当 网 络 中 存在 大 量 C-RP，BSR. 
报 文 携带 这 些 C-RP 信息 时 ， 会 导致 报 文 长 度 过 大 ， 
超过 接口 MTU 值 ， 最 终 可 能 造成 交换 机 无 法 正确 
处 理 BSR 报 文 ， 从 而 无 法 选举 出 RP 信息 ， 组 播 业 
务 也 无 法 正常 传输 。 此 时 可 以 使 用 BSR 报 文 分 片 功 
能 对 BSR 报 文 进行 分 片 处 理 , 从 而 保证 网 络 中 每 台 
交换 机 都 能 学 习 到 一 致 的 RP 信息 ， 组 播 分 发 树 能 
够 正确 建立 。 但 是 必须 要 保证 所 有 设备 都 要 使 能 ， 

否则 会 导致 未 使 能 的 设备 接收 到 的 RP 信息 不 完整 
缺 省 情况 下 ， 没 有 使 能 BSR 报 文 分 片 功能 ， 可 用 
undo bsm semantic fragmentation 命 今 去 使 能 
BSR 报 文 分 片 功能 

配置 交换 机 向 BSR 通告 自己 为 C-RP。 建 议 在 
组 播 数据 流量 汇聚 的 设备 上 配置 C-RP。 命令 
中 的 参数 说 明 如 下 。 

(1) interface-type interface-number: 指定 要 成 为 C-RP 
的 VLAN 接口 或 者 Loopback 接口 , 这 样 该 接口 的 他 
地 址 被 通告 为 CRP 地 址 

(2) group-poliey basic-acl-mumber: 可 多 选 参数 ， 
指定 用 于 限定 该 C-RP 所 服务 的 组 播 组 的 范围 的 
基本 ACL (过滤 的 是 组 播 组 IP 地 址 )， 取 值 范 
围 为 2 000 一 2 999 

(3) priority priority， 可 多 选 参数 ， 指 定 该 C-RP 
的 优先 级 ， 取 值 范 围 为 0 一 255 的 整数 ， 值 越 大 ， 
优先 级 越 低 ， 缺 省 值 为 0 








(可 选 ) 配 
性 动态 
RP 





(4) holdtime hold-interval: 可 多 选 参数 ， 指 

定 BSR 等 待 接收 该 C-RP 发 送 的 

Advertisement 消息 的 超时 时 间 ， 取 值 范围 为 

1 一 65 535 的 不 数秒 。 缺 省 值 为 150s 

(5) advertisement-interyal ady-interval: 可 

多 选 参数 ， 指 定 该 C-RP 发 送 Advertisement 

[renppodey 消息 的 时 间 间隔 ， 取 值 范围 为 1~65 535 的 

basicaclmenber| priority | 整数 秒 。 缺 省 值 为 60s 

priority | holdtime 3 

hold-interval | advertiseme a ee 

pr (2) C-RP 倪 先 级 较 高 者 获胜 

例如 : [HUAWELpimjerp | (3) 如 果 优先 级 相同 ， 则 进行 Hash 计算 ， 结 

loopback 0 group-policy 果 大 者 获胜 

0 (4) 如 果 以 上 都 相同 ， 则 CRP 的 了 地 址 大 者 获胜 
缺 省 情况 下 , 交换 机 未 配置 C-RP, 可 用 undo 
ec-rp interface-type interface-number undo c-rp 


命令 删除 指定 的 C-RP 


e-rp interface-type 
interface-number 


quit 于 ) Sp , 
例如 : [HUAWELpim] quit (可 选 ) 退出 PIM 视图 ， 返 回 系统 视图 


Interface interface-npe (可 选 ) 键入 要 配置 BSR 边界 的 VLAN 接口 
interface-number 或 Loopback 接口 ， 进 入 接口 视图 。 建 议 在 规 
例如 : [HUAWEI 划 的 PIM-SM 域 的 边缘 接口 配置 BSR 服务 边 
interface vlanif 20 界 
(可 选 ) 在 以 上 接口 配置 BSR 服务 边界 。 配 
eh 置 BSR 边界 后 ，BSR 报 文 无 法 通过 该 边界 ， 
Be TO 主要 在 划分 PIM-SM 域 时 使 用 ， 如 果 只 有 一 
Vlanif20] fe 个 PIM-SM 域 ， 则 不 用 配置 
站 人 缺 省 情况 下 , 未 设置 PIM-SM 域 的 BSR 边界 ， 
3 可 用 undo pim bsr-boundary 命令 取消 对 应 
接口 上 的 BSR 边界 设置 
quit 
例如 :， [HUAWEI- 退出 接口 视图 ， 返 回 系统 视图 
Vlanif20] quit 


Pim 进入 PIM 视 图 


例如 : [HUAWEI1 pim 

使 能 交换 机 的 BSR 管理 域 功能 
【说 明 】 每 个 BSR 管理 域 中 维护 一 个 BSR， 
为 特定 范围 239.0.0.0/8 网 段 内 的 组 播 组 服 
务 , 属于 该 BSR 管理 域 范围 内 的 组 播报 文 无 
法 通过 BSR 管理 域 边界 。 不 属于 任何 BSR 
管理 域 的 组 播 组 ,一 律 局 于 Global 域 的 服务 
范围 。Global 域 中 维护 一 个 BSR， 为 所 有 剩 
余 的 组 播 组 服务 ， 即 为 组 播 组 地 址 在 
239.0.0.0/8 范围 以 外 的 所 有 组 播 组 服务 
缺 省 情况 下 ， 交 换 机 未 使 能 BSR 管理 域 功 
能 ， 可 用 undo ec-bsr admin-scope 命令 恢复 
BSR 管理 域 功能 缺 省 的 去 使 能 状态 


ce-bsr admin-scope 
例 如 : [HUAWELpim] 
c-bsr admin-scope 





17 
18 
(可 选 》 
配置 BSR 
管理 域 
19 





quit 

例如 : [HUAWEI-pim] quit 
Interface interface-fpe 
interface-number 

例如 ; [HUAWEH 


interface vlanif 30 


multicast boundary 
group-address { mask | ma 
sk-length } 

例如 : [HUAWETL 
Vlanif30]multicast 
boundary 239.2.0.0 16 





退出 PIM 视图 ， 返 回 系统 视图 


键入 BSR 管理 域 的 边缘 接口 ， 进 入 接口 
视图 


在 以 上 BSR 管理 域 边缘 接口 上 配置 BSR 
管理 域 的 组 播 地 址 范围 。 命令 中 的 参数 说 
明 如 下 。 

(1) group-address: 指定 在 对 应 BSR 管理 
域 中 可 以 转发 的 组 播报 文 的 组 播 组 IP 地 
址 范围 ， 取 值 范围 是 224.0.1.0 一 
239.2552255.255 

(2) mask; 二 选 一 参数 ， 指 定 组 播 组 地 址 
的 子 网 掩 码 ， 通 过 它 可 以 确定 一 个 组 播 组 
地 址 范围 

(3) mask-length: 二 选 一 参数 ， 指 定 组 播 
组 地 址 的 子 网 掩 码 长 度 ， 取 值 范围 是 8 一 
32 的 整数 。 通 过 它 也 可 以 确定 一 个 组 播 组 
地 址 范围 

【说 明 〗 有 时 候 希 望 某 些 组 播 组 的 数据 在 
一 定 范围 内 转发 ， 比 如 配置 BSR 管理 域 
时 ， 每 个 管理 域 都 会 有 一 段 特 定 的 组 地 
址 为 本 管理 域 服务 ， 而 组 播 源 发 往 这些 
组 播 组 的 数据 都 希望 限定 在 各 自 的 管理 
域内 转发 。 在 接口 上 配置 了 针对 某 些 组 
播 组 的 组 播 边界 之 后 ， 指 定 组 播 组 的 组 
播报 文 将 无 法 通过 该 接口 进行 转发 ， 从 
而 达到 了 限制 转发 范围 的 目的 

缺 省 情况 下 ， 任 何 接口 上 都 没有 配置 组 
播 转发 边界 ， 可 用 undo mnulticast 
boundary { group-address { mask | 


mask-length } | all } 命 令 删 除 在 接口 上 配 
置 的 组 播 转发 边界 





在 每 个 
BSR 管 
理 域 的 
边缘 接 
口上 配 
置 边界 





quit 

例如 : [HUAWEI- 
Vlanif0] quit 

pim 

例如 : [HUAWEI] pim 


(可 选 ) 
配置 BSR 
管理 域 


(可 选 ) 

配置 RPT 

不 向 SPT 
切换 


退出 接口 视图 ， 返 回 系统 视图 





进入 PIM 视图 
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c-bsr group group- 
address { mask | mask- 
length } [ hash-length 
hash-length | priority 
priority ] 

例如 : [HUAWEI-pim] 
c-bsr group 239.0.0.0 
255.0.0.0 priority 10 


c-bsr global [ hash- 
length hash-/ength | 
priority priority ] ~ 
例如 : [HUAWEI-pim] 
c-bsr global priority 1 


spt-switch-threshold 
infinity 
例如 : [HUAWEI-pim] 





在 C-BSR 上 配 细 BSR 管理 域 的 组 播 组 地 址 
范围 。 通过 在 每 个 管理 域 的 C-BSR 上 执行 
该 命令 ， 可 指定 该 C-BSR 所 服务 的 管理 域 
组 地 址 以 及 自身 的 优先 级 .命令 中 的 group- 
address { mask|mask-length } 参数 参见 前 
面 第 19 步 中 的 对 应 参数 说 明 ， 其 他 两 项 参 
数 说 明 如 下 。 

(1) hash-length hash-length: 可 多 选 参数 ， 
指定 对 应 组 播 组 在 BSR 管理 域 中 C-BSR 
的 哈 希 掩 码 长 度 ， 取 值 范 围 为 0 一 32 的 整 
数 〈 用 于 C-BSR 选举 )。 缺 省 值 是 30 

(2) priority priorin': 可 多 选 参数 ， 指 定 对 应 
组 播 组 在 BSR 管理 域 中 的 C-BSR 的 优先 级 
(也 用 于 C-BSR 选举 )， 取 值 范 围 为 0 一 25S 
的 整数 。 值 越 大 ， 优 先 级 越 高 ， 缺 省 值 是 0 
缺 省 情况 下 ， 未 配置 C-BSR 服务 的 管理 
域 组 地 址 范围 ， 可 用 undo e-bsr group group- 
address 命令 删除 C-BSR 上 配置 的 组 搬 地 
址 范围 

配置 交换 机 为 Global 域 中 的 C-BSR。 执 行 
此 命令 主要 用 来 配置 Global 域 中 的 
C-BSR, 通过 C-BSR 竞选 产生 Global 域 的 
BSR。 命 令 中 的 两 个 参数 与 上 一 步 e-bsr 
group 命令 中 的 对 应 参数 一 样 ， 参 见 即 可 
缺 省 情况 下 ，PIM-SM 域 中 未 配置 Global 
域 的 C-BSR， 可 用 undo ec-bsr global 命令 
取消 本 交换 机 作为 Global 域 的 C-BSR 
在 组 成 员 端 DR 上 配置 不 发 起 SPT 切换 
【说 明 】PIM-SM 组 播报 文 的 传输 方式 为 源 端 DR 将 
组 播报 文 封装 在 注册 消息 中 单 播发 送 至 RP, 再 由 RP 
沿 RPT 传输 到 组 播 组 成 员 。 缺 省 情况 下 ， 当 RP 或 者 
组 成 员 端 DR 收 到 第 一 个 组 播 教 据 包 之 后 ,就 会 向 源 
发 起 SPT 切换 。 在 组 成 员 端 DR 配置 了 此 命令 后 , 组 
成 员 端 DR 将 永 不 发 起 SPT 切换 

缺 省 情况 下 ， 从 RPT 收 到 第 一 个 组 播 数 据 包 后 立即 
进行 SPT 切换 ， 可 用 undo spt-switch-threshold 命令 
禁止 切换 








(可 选 ) 
调整 注册 
控制 参数 





register-suppression-timeo 
ut interval 

例如 : [HUAWEI-pim] 
register-suppression-timeo 
ut 70 


probe-interval interval 
例如 : [HUAWEI-pim] probe- 
interval 30 


register-header-checksum 
例如 : [HUAWEI-pim] 
register-header-checksum 


register-source 
interface-type 
interface-number 

例如 : [HUAWEI-pim] 
register-source loopback 0 


在 源 端 DR 上 配置 保持 注册 抑制 状态 的 超 
时 时 间 ， 取 值 范围 为 11 一 3 600 的 整数 秒 
【说 明 】 当 交接 机 接收 到 从 RP 发 来 的 针 
对 (S，G) 项 的 Register-Stop 报 文 ， 会 
立刻 停止 发 送 封装 组 播 元 据 的 Register 
报 文 ， 此 时 交换 机 进入 注册 抑制 状态 。 
执行 此 命令 可 设置 注册 抑制 状态 的 超时 
时 间 。 超 时 后 , 源 端 DR 将 恢复 向 RP 发 
送 Register 报 文 

缺 省 情况 下 ， 注 册 抑制 状态 的 超时 时 间 是 
60s, HTH undo register- suppression-timeout 
命令 恢复 超时 时 间 为 缺 省 值 

在 源 端 DR 上 配置 交换 机 向 RP 发 送 Probe 
报 文 〈 空 注册 报 文 ) 的 时 间 间 隔 ， 取 值 范围 
是 1 一 1799 的 整数 秒 。 但 必须 小 于 上 一 步 
register- suppression-timeout 值 的 1/2 
【说 明 】〗 当 组 播 源 侧 DR 收 到 RP 发 送 的 
Register-Stop 报 文 后 , 组 播 源 端 DR 将 会 
停止 发 送 注 册 报 文 并 进入 注册 抑制 状 
态 。 在 注册 抑制 期 间 ， 组 播 源 端 DR 向 
RP 周期 性 发 送 Probe 报 文 以 通告 组 播 源 
仍 处 于 激活 状态 。 注 册 抑 制 超时 后 ， 组 
播 源 端 DR 重新 开始 发 送 注 册 报 文 
缺 省 情况 下 ， 交 换 机 向 RP 发 送 Probe 报 文 
的 时 间 间 隔 是 Ss, 可 用 undo probe-interval 
命令 恢复 时 间 间 隔 为 缺 省 值 

在 源 端 DR 上 配置 仅 根 据 Register 注 册 报 
文 头 信息 来 计算 校 验 和 ， 未 通过 校 验 的 
Register 注册 报 文 将 被 丢弃 

【说 明 】 缺 省 情况 下 , 源 端 DR 根据 Register 
注册 报 文 全 部 内 容 来 计算 校 验 和 。 执行 此 
命令 后 ， 源 端 DR 仅 根 据 注册 报 文 头 来 计 
算 校 验 和 ， 可 减少 计算 校 验 和 的 时 间 ， 提 
高 注册 报 文 封装 组 播 数 据 的 效率 ， 可 用 
undo register-header-checksum 命令 恢复 
缺 省 配置 

指定 源 端 DR 发 送 注册 报 文 的 源 地 址 
【说 明 】〗 如 果 发 送 注册 报 文 的 源 IP 地 址 
对 于 RP 路 由 器 不 再 是 网 络 中 唯一 的 IP 
地 址 或 者 是 一 个 被 过 滤 掉 的 IP 地址 ， 那 
么 注册 过 程 就 会 出 现 错 误 ， 导 致 网 络 中 
出 现 多 余 的 流量 ， 占 用 带宽 。 这 时 可 以 
通过 本 命令 指定 一 个 源 端 DR 上 合理 接 
口 作为 发 送 注册 报 文 的 源 IP 地 址 ， 建 议 
使 用 源 DR 上 Loopbaek 接口 的 IP 地 址 
缺 省 情况 下 , 不 指定 源 DR 发 送 注册 报 
文 的 源 地 址 , 可 用 undo register-source 
命令 取消 指定 的 源 DR 发 送 注册 报 文 的 
源 地 址 





说 明 





(可 选 ) 
调整 注册 
制 参数 


(可 选 ) 
C-RP 控 
制 参数 
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register-policy 


advanced-acl-number 
例如 : [HUAWEI-pim] 
register-policy 3001 


c-rp priority priority 
例如 : [HUAWEI-pim] c-rp 
priority 20 


配置 RP 过 滤 Register 注册 报 文 的 规 
则 。 参 数 advanced-acl-number 用 来 指 
定 过 滤 组 播 源 组 地 址 的 高 级 ACL 编 
号 , 取 值 范围 为 3000~3 999。 在 定义 
ACL 规则 时 , 通过 permit 选项 配置 设 
备 仅 接 收 指定 地 址 范围 的 注册 报 文 。 
如 果 ACL 未 定义 规则 ， 则 设备 缺 省 过 
滤 掉 所 有 的 注册 报 文 

【说 明 】〗 为 了 防止 非法 注册 报 文 攻击 ， 可 
以 根据 报 文 过 滤 规 则 来 接受 或 拒绝 和 规 
则 匹配 的 注册 报 文 

缺 省 情况 下 , 未 配置 注册 报 文 过 滤 规 则 ， 
可 用 undo register-policy 命令 取消 注册 
报 文 过 滤 配 置 

配置 C-RP 的 全 局 性 优先 级 , 取 值 范 围 
是 0~255， 优 先 级 数值 越 大 ， 优 先 级 
越 低 。 但 重复 配置 此 命令 将 覆盖 原 有 
配置 信息 。C-RP 竞选 RP 的 规则 参见 
以 上 第 10 步 说 明 

缺 省 情况 下 ,C-RP 的 全 局 性 优先 级 是 0， 
可 用 undo ce-rp priority 命令 恢复 该 优先 
级 为 缺 省 值 
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c-rp advertisement- 
interval interval 

例如 : [HUAWEI-pim] c-rp 
advertisement- 

interval 30 


配置 C-RP 周期 性 发 送 Advertisement 报 
文 的 时 间 间 隔 ， 取 值 范围 为 1 一 65 535 
的 整数 秒 

【说 明 】PIM-SM 域内 的 所 有 C-RP 会 周 
期 性 地 向 BSR 发 送 携带 自身 参数 的 
Advertisement 报 文 , 然后 BSR 将 收集 到 
这 些 C-RP 信息 汇总 成 RP-set 向 域内 所 
有 设备 发 送 。 可 通过 此 命令 配置 C-RP 
向 BSR 发 送 Advertisement 报 文 的 时 间 
间隔 

缺 省 情况 下 ，C-RP 发 送 Advertisement 
报 文 的 时 间 间 隔 是 60s， 可 用 undo ce-rp 
advertisement-interval 命令 恢复 发 送 时 
间 间 隔 为 缺 省 值 
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c-rp holdtime interval 
例如 : [HUAWEI-pim] c-rp 
holdtime 60 





配置 C-BSR 等 待 接收 BSR 发 送 的 
Bootstrap 报 文 的 超时 时 间 ， 取 值 范围 为 
1 一 214 748 364 的 整数 秒 

【说 明 】〗】 当 某 C-BSR 竞选 获胜 成 为 BSR 
后 ， 周 期 性 地 向 网 络 发 送 Bootstrap 报 
文 , 报 文中 携带 自己 的 IP 地 址 、RP-Set 
信息 。Bootstrap 报 文 的 发 送 间隔 为 
BS_intervel， 可 以 使 用 上 一 步 的 c-bsr 
interval 命令 配置 
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c-rp holdtime interval 


例如 : [HUAWEI-pim] c-rp 
holdtime 60 


crp-policy 
advanced-acl-nmumber 
例如 : [HUAWEI-pim] 
crp-policy 3100 


其 他 选举 落 败 的 C-BSR 抑制 Bootstrap 报 
文 的 发 送 ， 并 启动 定时 器 监视 当选 BSR。 
定时 器 超时 时 间 为 Holdtime, 可 以 使 用 本 
命令 配置 。 如 果 收 到 当选 BSR 发 来 的 
Bootstrap 报 文 ， 则 刷新 定时 器 。 落 败 
C-BSR 也 根据 Holdtime 刷新 BSR 的 超时 
时 间 ; 如 果 定 时 器 超时 ， 则 认为 当选 BSR 
发 生 故 障 。 落 败 C-BSR 自发 执行 竞选 产 
生 新 的 BSR， 从 而 确保 业务 免 受 中 断 

缺 省 情况 下 ，C-BSR 等 待 接收 BSR 发 
送 的 Bootstrap 报 文 的 超时 时 间 是 
130s, 可 用 undo ce-bsr holdtime 命令 恢 
复 超 时 时 间 为 缺 省 值 

在 BSR 上 配置 用 来 限定 合法 的 C-RP 
地 址 范围 及 其 服务 的 组 播 组 地 址 范 
围 ， 使 其 丢弃 来 自 该 地 址 范围 之 外 的 
C-RP 报 文 ， 从 而 防止 C-RP 欺骗 。 参 
数 advanced- acl-number 指定 用 于 定 
义 了 针对 C-RP 地 址 范围 〈 作 为 规则 
中 的 源 地 址 ) 和 其 服务 组 播 组 地 址 
(作为 规则 中 的 目的 地 址 ) 范围 的 过 
滤 策 略 的 高 级 ACL， 取 值 范围 为 
3 000 一 3 999。 在 定义 ACL 的 规则 
时 ， 通 过 permit 选项 配置 设备 仅 接 
收 指定 地 址 范围 的 宣告 报 文 。 如 果 
ACL 未 定义 规则 ， 则 设备 缺 省 过 滤 
掉 所 有 的 宣告 报 文 

【说 明 】 为 了 防止 C-RP 坎 骗 ， 需 要 在 
BSR 上 配置 本 命令 限定 合法 的 C-RP 地 
址 范围 以 及 其 服务 的 组 播 组 地 址 范围 。 
由 于 每 个 C-BSR 都 可 能 成 为 BSR， 
此 需要 在 每 个 C-BSR 上 都 配置 相同 的 
过 滤 策 略 

缺 省 情况 下 ，C-RP 地 址 范围 及 其 服 
务 的 组 播 组 地 址 范围 不 受 任何 限制 ， 
即 BSR 认为 接收 到 的 所 有 C-RP 报 文 
都 是 合法 的 , 可 用 undo crp-policy 命 
令 恢 复 缺 省 配置 








(可 选 ) 
调整 
C-BSR 
控制 参数 
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c-bsr priority priority 
例如 : [HUAWEI-pim] ec-bsr 
priority 100 


配置 C-BSR 的 全 局 优先 级 (可 能 需要 
在 每 个 C-BSR 上 配置 )， 取 值 范围 为 
0 一 255 的 整数 。 值 越 大 ， 优 先 级 越 高 
【说 明 】 多 个 C-BSR 与 竞选 BSR 的 规则 如 下 。 
(1) 有 具有 最 高 优先 级 的 交换 机 将 成 为 BSR 
(2) 当 优 先 级 相同 时 ，IP 地 址 较 大 者 
将 成 为 BSR 





e-bsr priority priority 
例如 : [HUAWEI-pim] c-bsr 
priority 100 


当 希 望 革 个 C-BSR 成 为 BSR 时 ,可 
以 配置 该 命令 调 大 该 C-BSR 的 优先 级 
数值 

缺 省 情况 下 ，C-BSR 的 全 局 优先 级 是 
0， 可 用 undo c-bsr priority 命令 恢复 
该 配置 参数 的 缺 省 值 





c-bsr hash-length 
hash-length 

例如 : [HUAWEI-pim] c-bsr 
hash-length 20 


(可 选 ) 调 


整 C-BSR 
控制 参数 


c-bsr holdtime interval 
例如 : [HUAWEI-pim] c-bsr 
holdtime 100 





配置 C-BSR 的 全 局 性 哈 希 掩 码 长 度 
(可 能 需要 在 每 个 C-BSR 上 配置 ), 取 
值 范围 为 0 一 32 的 整数 

【说 明 〗 在 进行 动态 RP 竞选 时 ， 如 果 
C-RP 针对 特定 组 的 接口 地 址 掩 码 和 
优先 级 都 相同 ， 则 需要 执行 哈 希 函 数 
来 选取 该 组 的 RP。 交 换 机 根据 组 地 址 
G、C-RP 的 地 址 和 哈 希 掩 码 长 度 ， 运 
用 哈 希 函数 ， 对 希望 为 组 G 服务 且 优 
先 级 相同 的 C-RP 逐一 进行 计算 ,并 比 
较 计 算 结果 ， 计 算 结果 最 大 者 为 组 播 
组 G 提供 服务 的 RP。 配 置 哈 希 掩 码 长 
度 主要 用 来 调整 哈 希 计算 结果 
缺 省 情况 下 ，C-BSR 的 全 局 性 哈 希 掩 码 
长 度 是 30, 可 用 undo ec-bsr hash-length 
命令 恢复 该 配置 参数 的 缺 省 值 

配置 C-BSR 等 待 接收 BSR 发 送 的 
Bootstrap 报 文 的 超时 时 间 (可 能 需要 
在 每 个 C-BSR 上 配置 )， 取 值 范围 为 
1 一 214 748 364 的 整数 秒 

【说 明 】 在 实际 应 用 中 ,属于 同一 个 PIM 
域 的 所 有 C-BSR 必须 使 用 相同 的 
BS_interval (将 在 下 一 步 介绍 ) 和 
Holdtime。 如 果 配 置 值 不 同 ， 有 可 能 导 
致 当选 BSR 不 稳定 ， 从 而 引发 组 播 故 
障 。 有 以 下 注意 事项 。 

(1) 如 果 同 时 配置 了 BS interval 和 
Holdtime， 则 请 务必 保证 BS_interval 小 
于 Holdtime。 

(2) 如 果 只 配置 了 其 中 之 一 ， 则 使 用 
公式 : Holdtime 二 2 x BS_interval + 10， 
计算 另 一 个 。 如 果 配 置 了 Holdtime， 
计算 结果 小 于 BS_interval 取 值 范围 的 
最 小 值 时 ，BS_interval 取 最 小 值 ; 如 
果 配 置 了 BS_interval， 计 算 结 果 大 于 
Holdtime 取 值 范围 的 最 大 值 时 ， 
Holdtime 取 最 大 值 








说 明 
(3) 如 果 都 未 配置 ， 则 使 用 缺 省 值 : 
c-bsr holdtime interval | BS_interval 为 608，Holdtime 为 130s 
例如 [HUAWEI-pim] | 缺 省 情况 下 ，C-BSR 等 待 接收 BSR 发 送 的 
ec-bsr holdtime 100 Bootstrap 报 文 的 超时 时 间 是 130s, 可 用 undo 
c-bsr holdtime 命令 恢复 超时 时 间 为 缺 省 值 
配置 C-BSR 发 送 Bootstrap 自 举 报 文 的 间 
隔 时 间 ( 可 能 需要 在 每 个 C-BSR 上 配置 )， 
取 值 范围 为 1 一 107 374 177 的 整数 秒 
【说 明 】〗 当 某 C-BSR 竞选 获胜 成 为 BSR 后 ， 
将 周期 性 地 向 PIM-SM 域内 发 送 Bootstrap 报 在 
文 ， 报 文 中 携带 自己 的 症 地 址 ,RP-Set 信息 。| C-BSR 
Bootstrap 报 文 的 发 送 间隔 为 BS_intervel， 可 四 
以 使 用 本 命令 配置 。 其 他 选举 落 败 的 C-BSR 文 携带 
抑制 Bootstrap 报 文 的 发 送 ， 并 启动 定时 器 监 | 的 参数 
视 当 选 BSR。 定 时 器 超时 时 间 为 Holdtime， 
可 以 使 用 上 一 步 的 c-bsr holdtime 命令 瑟 
置 .如 果 收 到 当选 BSR 发 来 的 Bootstrap 报 文 ， 
则 刷新 定时 器 ; 如 果 定 时 器 超时 ， 则 认为 当 





c-bsr interval interval 
例如 : [HUAWEI-pim] 
c-bsr interval 100 


(可 选 ) 调 


整 C- 
选 BSR 发 生 故 障 。 落 败 C-BSR 自发 执行 竞 


选 产生 新 的 BSR， 从 而 确保 业务 免 受 中 断 
缺 省 情况 下 ，BSR 连续 发 送 Bootstrap 报 
文 的 时 间 间 隔 是 60s， 可 用 undo ec-bsr 
interval 命令 恢复 时 间 间 隔 为 缺 省 值 


在 每 个 PIM 设备 上 限定 合法 BSR 地 址 范 
围 ， 使 交换 机 丢弃 来 自 该 地 址 范围 之 外 的 
自 举报 文 ， 从 而 防止 BSR 欺骗 。 参 数 
basic-acl-number 指定 用 于 表 定 义 了 针对 
BSR 报 文 源 地 址 范围 的 过 滤 策 略 的 基本 pIM-S 
bsr-policy ACL， 取 值 范围 为 2 000 一 2 999 M 的 设 
basic-acl-number 在 定义 ACL 规则 时 ， 通 过 permit 选项 配 备 上 限 
例如 : [HUAWEI-pim] | 置 设备 仅 接收 指定 地 址 范围 的 自 举报 文 。 站 合 ; 去 
bsr-policy 2100 如 果 ACL 未 定义 规则 , 则 设备 缺 省 过 滤 掉 | 的 BSR 
所 有 地 址 范围 的 自 举 报 文 地 址 范 
缺 省 情况 下 ,BSR 地址 范围 不 受 任何 限制 ，| ”上 
即 交 换 机 接收 到 的 所 有 自 举报 文 都 认为 是 
有 效 的 ， 不 会 丢弃 ， 可 用 undo bsr-policy 
命令 恢复 缺 省 配置 
【示例 1】 全 局 配置 地 址 为 11.110.0.6 的 交换 机 为 静态 RP， 为 ACL2001 定 义 的 组 播 组 提供 服务 ， 并 且 启 
静态 RP 优先 。 
<HUAWEI> system-view 
[HUAWEI] acl number 2001 
[HUAWEI-acl-basic-2001] rule permit Source225.1.0.0 0.0.255.255 
[HUAWEI-acl-basic-2001] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] pim 
[HUAWEI-pim]| static-rp 11.110.0.6 2001preferred 
【示例 2】 在 交换 机 的 VLANIF100 上 配置 C-BSR。 
<HUAWEI> system-view 
[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] pim sm 
[HUAWEI] pim 
[HUAWEI-pim] c-bsr vlanif 100 
【示例 3】 全 局 配置 Loopback0 接 口 作 为 PIM-SM 组 播 域 中 组 播 组 地 址 为 225.1.0.0/16 和 226.2.0.0/16 的 C- 


RP， 并 且 设 置 该 C-RP 的 优先 级 为 10。 


在 接口 
使 能 



































Ss 
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<HUAWEI> system-view 
[HUAWEI] acl number2069 
[HUAWEI-acl-basic-2069] rule permit Source 225.1.0.0 0.0.255.255 
[HUAWEI-acl-basic-2069] rule permit source 226.2.0.0 0.0.255.255 
[HUAWEI-acl-basic-2069] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] pim 
[HUAWEI-pim] c-rp loopback 0 group-policy 2069 priority 10 
【示例 4】 在 C-BSR 交 换 机 上 配置 C-RP 策 略 ， 仅 允许 1.1.1.1/32 的 交换 机 作为 C-RP， 并 且 只 允许 该 C-RP 
为 225.1.0.0/16 范 围 的 组 播 组 服务 (通过 高 级 ACL 定 义 规则 》〉。 
<HUAWEI>system-view 
[HUAWEI] acl number 3100 
[HUAWEI-acl-adv-3100] rule permit ip source 1.1.1.1 Odestination 225.1.0.0 0.0.255.255 
[HUAWEI-acl-adv-3100] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] pim 
[HUAWEI-pim] crp-policy 3100 
【示例 5】 全 局 配置 合法 BSR 地 址 范围 是 10.1.1.0/24 网 段 。 
<HUAWEI>system-view 
[HUAWEI] acl number2001 
[HUAWE1I-acl-basic-2001] rule permit source 10.1.1.0 0.0.0.255 
[HUAWEI-acl-basic-2001] quit 
[HUAWEI] pim 
[HUAWEI-pim] bsr-policy 2001 


















































13.3.4 配置 SSM 模 型 的 PIM-SM 








SSM 模 型 PIM-SM 的 配置 很 简单 ， 主 要 包括 两 项 配置 任务 : 一 是 必 选 的 PIM-SM 功 能 ， 二 是 可 选 的 SSM 
组 策略 配置 。 通 过 SSM 组 策略 可 用 来 控制 SSM 组 地 址 范围 。 具 体 如 表 13-16 所 示 。 















































表 13-16 SSM 模 型 的 PIM-SM 的 配置 步骤 





步骤 命令 说 明 
System-view 

例如 :<HUAWEI> system-view 

multicast routing-enable 

例如 : [HUAWEI] multicast routing-enable 








| 进入 系统 视图 





全 局 使 能 组 播 路 由 功能 。 其 他 说 明 参 见 13.1.2 
节 表 13-1 中 的 第 2 步 

键入 要 配置 PIM-DM 功能 的 VLAN 或 者 
Loopback 接口 ， 进 入 接口 视图 











interface interface-type interface-number 
例如 : [HUAWEI] interface vlanif 10 














( 续 表 ) 





【示例 】 配 置 PIM SSM 组 播 地 址 范 





命令 


说 明 





pim sm 
例如 : [HUAWEI-Vlanifl0] pim sm 





在 以 上 接口 上 使 能 PIM-SM 功能 。 其 他 说 明 参 见 
13.3.3 节 表 13-15 中 的 第 4 步 














quit 
例如 : [HUAWEI-Vlanif10] quit 





退出 接口 视图 ， 返 回 系 统 视图 














pim 
例如 : [HUAWEI] pim 


进入 PIM 视图 





ssm-policy basic-aci-mumber 
例如 : [HUAWEI-pim] ssm-policy 2010 








<HUAWEI> system-view 
[HUAWEI] acl number 2000 
[HUAWE1I-acl-basic-2000] rule permit source232.1.0.0 0.0.255.255 
[HUAWE1I-acl-basic-2000] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] pim 

[HUAWEI-pim] ssm-policy 2000 





13.3.5 PIM-SM 其 他 可 选 功 能 及 参数 配置 





本 节 将 要 介绍 的 是 PIM-SM 网 络 中 其 他 可 选 功能 及 参数 配置 与 前 面 1.2.2 节 中 介绍 的 各 项 功能 











数 配 置 方法 基本 一 样 。 这 些 配置 选项 包括 以 下 几 种 。 


(1) 调整 组 播 源 控 带 
与 在 本 章 13.2.3 节 介 
(2) 调整 邻居 控制 
与 在 本 章 13.2.4 节 介 























项 “跟踪 下 游 邻 居 功 


(3) 调整 DR 竞选 控制 参数 
这 是 PIM-DM 网 络 中 所 没有 的 ， 仅 在 PIM-SM 网 络 需 要 配置 。 
设备 之 间 通 过 交互 Hello 报 文选 举 DR， 主 要 负责 源 端 或 者 组 成 员 端 的 协议 报 文 发 送 的 工作 。 这 里 又 包括 
配置 DR 优先 级 和 配置 DR 切换 延迟 两 方面 。 
在 “配置 DR 优先 级 ”方面 
































Hello 报 文中 携带 的 DR 优 9 





胜 。DR 优 先 级 在 全 











在 “配置 DR 切换 延迟 ”方面 ， 有 时 候 由 于 某 些 原 医 











| 参数 
绍 
参数 
绍 的 PIM-DM“ 调 整 邻 
能 ”配置 ， 具 体 配 置 步 又 将 在 本 节 后 面 介绍 ， 



























































居 控 制 参数 "配置 方法 基本 一 样 ， 只 是 在 
其 他 参数 配置 参见 13.2.4 节 即 可 。 


ij， 组 播 源 或 组 播 成 员 所 在 的 共享 网 段 ， 通 常 同 时 连接 着 


(可 选 ) 配置 SSM 组 播 组 地 址 范围 ， 仅 在 需要 扩 
展 SSM 组 播 组 地 址 范围 时 配置 。 参 数 用 来 定义 
SSM 组 播 地 址 范围 的 基本 ACL， 取 值 范 围 为 
2 000 一 2 999。 但 要 确保 网 络 内 所 有 PIM 设备 上 
配置 的 SSM 组 地 址 范围 都 一 致 

缺 省 情况 下 ，SSM 组 范围 是 232.0.0.0/8， 执 行 此 
命令 后 可 以 超出 这 个 范围 ,所 有 使 能 PIM-SM 协 
议 的 接口 将 会 认为 属于 该 范围 内 的 组 播 组 采用 
了 PIM SSM 模式 ， 可 用 undo ssm-policy 命令 恢 
复 缺 省 配置 








围 为 232.1.0.0/16 。 



















































































取 该 网 段 唯一 的 组 播报 文 转发 权 ，PIM 设 备 之 间 就 需要 通过 交互 Hello 报 文 进 
E 级 〈 缺 省 值 为 1 ) ， 优 先 级 较 高 者 获 肝 
如 果 DR 优 先 级 相同 或 该 网 段 存在 至 少 一 台 PIM 设 备 不 支持 在 Hello 报 文中 携带 DR 优先 级 ， 由 
局 PIM 视 图 下 和 接口 视图 下 都 可 配置 ， 如 果 同 时 配置 ， 接 














控制 参 





的 PIM-DM“ 调 整 组 播 源 控制 参数 ”配置 方法 完全 一 样 ， 参 见 即 可 。 


EPIM-SM 网 络 中 多 了 一 























台 PIM 设 备 。 为 了 争 



























































口 视图 




















行 DR 竞选 。 竞 选 时 
E〈 优 先 级 数值 越 大 ， 表 示 优 先 级 越 高 ) ; 





， 首 先 比 较 





jP 地 址 较 大 者 获 











上 的 配置 生效 。 


















































发 数据 的 组 播 表 项 会 被 立即 删除 ， 这 可 能 会 导致 短 时 


























这 部 分 








并 指定 延迟 时 间 ， 原 有 表 项 仍然 有 效 直到 延迟 时 间 超 
\ 体 配置 步 又 也 将 在 本 节 后 面 介绍 。 




















时 。 


， 当 前 共享 网 段 的 DR 变 成 非 DR， 原 有 向 该 网 段 的 转 
间 内 组 播 数据 的 断 流 。 此 时 ， 可 以 配置 DR 切换 延迟 ， 




































































































































































































































































































































































(4) 调整 加 入 和 剪 枝 控制 参数 
与 在 本 章 13.2.5 节 介绍 的 PIM-DM“ 调 整 剪 枝 控制 参数 ”配置 方法 基本 一 样 ， 只 是 在 PIM-SM 网 络 中 多 了 一 
项 “Join 信 息 过 滤 策 略 ? 配 置 ， 具 体 将 在 本 节 后 面 介 绍 ， 其 他 参数 配置 参见 13.2.5 节 即 可 。 
(5) 调整 断言 控制 参数 
与 在 本 章 13.2.8 节 介绍 的 PIM-DM“ 调 整 断言 控制 参数 ”配置 方法 完全 一 样 ， 参 见 即 可 。 
(6) PIM BFD 
这 部 分 是 PIM-SM 所 特有 的 功能 ， 用 于 在 检测 到 对 端 故障 以 后 立即 触发 新 一 轮 的 DR 竞选 过 程 ， 而 不 是 
等 到 邻居 关系 超时 ， 这 将 在 很 大 程度 上 缩小 组 播 数据 传输 的 中 断 时 间 ， 提 高 组 播 网 络 的 可 靠 性 。 有 具体 配置 
步 又 也 将 在 本 节 后 面 介绍 。 
(7) PIM GR 
部 分 也 是 PIM-SM 网 络 所 特有 的 功能 ， 用 于 在 设备 进行 主 备 倒 换 时 实现 快速 倒 换 ， 保 持 用 户 组 播 流 量 
的 正常 转发 。 具 体 配置 步骤 也 将 在 本 节 后 面 介 绍 。 
(8) PIM Silent 
与 在 本 章 前 面 13.2.9 节 介绍 的 PIM-DM“ 配 置 PIM Silent* 配 置 方 法 完全 一 样 ， 参 见 即 可 。 
下 面 介绍 以 上 所 提 到 的 在 IM-SM 网 络 中 特有 的 一 些 参 数 和 功能 的 具体 配置 步 又 。 
1. 配置 跟踪 下 游 邻 居 功 能 
设备 发 送 Hello 报 文 时 ， 会 生成 一 个 Generation BT 玄 报 文中 。 一 般 Generation ID 不 会 改变 ， 只 有 设 


备 状 态 改 变 ， 此 时 Generation ID 
变 ， 会 立即 向 该 设备 发 送 加 入 报 文 以 刷新 邻居 关系 。 


重 


























目 常情 况 下 ， 





制 这 种 相同 加 入 报 文 
送 加 入 报 文 。 这 时 会 





居 ” 功 能 
该 功能 在 全 











证 共享 网 段 中 的 所 有 设备 都 使 能 























如 果 











大 








的 数目 
Generation ID 改变 的 上 游 
吾 ， 设 备 在 侦 听 到 其 他 设备 发 送 的 加 入 和 
局 PIM 视图 下 和 接口 视图 下 都 可 配置 。 如 果 同 时 配置 ， 接 
有 具体 配置 步骤 如 








tk 享 网 段 











新 生成 才 会 改变 。 


内 有 多 台 设 备 痢 











准 














， 即 一 台 设 备 在 侦 听 至 





es 








邻居 无 法 刷新 与 每 台 下 游 的 邻 


及 文 时 ， 将 不 会 抑制 


备 向 同一 上 游 设备 发 送 加 入 请 求 ， 会 采 ) 
其 他 设备 的 加 入 报 文 后 ， 将 不 会 再 向 该 上 游 PTIM 邻 
居 关 系 。 配 置 了 “跟踪 下 游 邻 
向 相同 的 上 游 PIM 邻 居 发 送 加 入 报 文 。 





这 时 邻居 设备 在 收 到 Hello 报 文 后， 发 现 Generation ID 改 














侦 听 直 











该 功能 。 


表 13-17 跟踪 下 游 邻 
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上 的 配置 生效 ， 

















几 和 囊 





I 来 抑 
居 发 








日 必须 保 














表 13-17 所 示 。 











居 功 能 的 配置 步 又 





令 


说 明 





system-view 


进入 系统 视图 








例如 : <HUAWEI> system-view 
i 进入 PIM 视图 .可 用 undo pim 命令 清除 PIM 视图 2 
员 | 由 pe 下 进行 的 配置 ， 将 删除 所 有 IPv4 PIM 全 局 配置 信 | 全 局 
例如 : [HUAWEI 直角 
Lie 息 ， 请 慎 用 信 角 
ed 全 局 使 能 跟踪 二 洲 
down eng | 缺 省 情况 下 ， 未 使 能 邻居 跟踪 功能 ， 可 用 undo | 邻居 
3 | 例如 : [HUAWEI-pim] 人 人 下 信 写 太 全 | 全 
hello-option neighbor-tracking i option neighbor tracking 命令 用 来 恢复 缺 省 | 功能 

忆 置 





: [HUAWEI-pim] quit 


退出 发 PIM 视图 ， 返 回 系统 视图 





an 


interface interface-type 
interfac 
| 加 3 
if 100 


e-number 
HUAWEI] interface 





键入 要 配置 邻居 控制 参数 的 PIM-DM VLAN 接口 


或 者 Loopback 接口 ， 进 入 接口 视图 











im 











例如 





hello-option 


neighbor-tracking 


: [HUAWEI-Vlanifl00] pim 


hello-option neighbor-tracking 


2. 调整 DR 竞选 控制 参数 


(可 选 ) 在 以 上 接口 上 使 能 跟踪 下 游 邻 居 功 能 

缺 省 情况 下 , 未 使 能 邻居 跟踪 功能 , 可 用 undo pim 
hello-option neighbor-tracking 命令 用 来 恢复 缺 省 
配置 











功能 





设备 之 间 通 过 交互 Hello 报 文选 举 DR， 主 要 负责 源 端 或 者 组 





员 端 的 协议 报 文 发 送 的 工作 。 可 以 配置 

















DR 竞选 优先 级 和 DR 切换 延迟 功能 ， 无 先后 顺序 ， 用 户 可 根据 实际 需要 进行 调整 。 
《1) DR 优先 级 。 在 组 播 源 或 组 成 员 所 在 的 共享 网 段 ， 通 常 同时 连接 着 多 台 PIM 设 备 。 为 了 争取 该 网 段 


























唯一 的 组 播报 文 转发 权 ，PIM 设 备 之 间 就 需要 通过 交互 Hello 报 文 进行 DR 竞选 。 竞 选 时 ， 首 先 比 较 Hello 报 文 





中 携带 的 DR 优先 级 〈 缺 省 值 为 1 )， 优 先 级 较 高 者 获胜 优先 级 数值 越 大 ， 表 示 优 9 











E 级 相同 或 该 网 段 存在 至 少 一 台 PIM 设 备 不 支持 在 Hello 











~ 

















(2) 配置 DR 切换 延迟 。 有 时 1 





级 在 全 局 PIM 视 图 下 和 接口 视图 下 都 可 配置 ， 

































































E 级 越 高 》; 如 果 DR 优 
有 文中 携带 DR 优先 级 ， 则 IP 地 址 较 大 者 获胜 。DR 优 
如 果 同 时 配置 ， 接 口 视 图 上 的 配置 生效 。 

居 由 于 某 些 原因 ， 当 前 共享 网 段 的 DR 变 成 非 DR， 原 有 向 该 网 段 的 转发 数 


据 的 组 播 表 项 会 被 立即 删除 ， 这 可 能 会 导致 短 时 间 内 组 播 数据 的 断 流 。 此 时 可 以 配置 DR 切换 延迟 ， 并 指定 





延迟 时 间 ， 原 有 表 项 








仍然 有 效 直 到 延迟 时 间 超 时 。 缺 省 ! 

















以 上 两 项 功能 的 具体 配置 步骤 如 表 13-18 所 示 。 





表 13-18 调整 DR 竞选 控制 参数 的 配置 步骤 


说 明 





青 况 下 ， 未 配置 DR 切换 延迟 功能 。 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





pim 
例如 : [HUAWEI] pim 


命令 


进入 PIM 视图 。 可 用 undo pim 命令 清除 PIM 视 
图 下 进行 的 配置 ， 将 删除 所 有 IPv4 PIM 全 局 配 
置信 息 ， 请 慎 用 


说 明 


全 局 配 
置 DR 
优先 级 





hello-option dr-priority 
priority 

例如 : [HUAWEI-pim] 
hello-option dr-priority 100 


全 局 配置 交换 机 竞选 DR 的 优先 级 ， 取 值 范围 为 
0 一 4 294 967 295 的 整数 

缺 省 情况 下 , 交换 机 竞选 成 为 DR 的 优先 级 是 1， 
可 用 undo hello-option dr-priority 命令 恢复 交换 
机 全 局 DR 优先 级 参数 为 缺 省 值 


全 局 配 
置 DR 
优先 级 





quit 
如 : [HUAWEI-pim] quit 


退出 发 PIM 视图 ， 返 回 系统 视图 





interface interface-type 
interface-number 

如 1: [HUAWEI] interface 
lanif 100 


(可 选 ) 键入 要 配置 DR 优先 级 的 PIM VLAN 接 
1 或 者 Loopback 接口 ， 进 入 接口 视图 





im hello-option dr-priority 





如 : [HUAWEI-Vlanif100] 
pim hello-option dr-priority 
200 


(可 选 ) 在 以 上 接口 上 配置 竞选 DR 的 优先 级 ， 
区 值 范 围 为 0 一 4 294 967 295 的 整数 
缺 省 情况 下 , 交换 机 竞选 成 为 DR 的 优先 级 是 1， 
undo hello-option dr-priority 命令 用 来 恢复 对 应 
口上 DR 优先 级 为 缺 省 值 





在 接口 
上 配置 
DR 优 
先 级 











pim timer dr-switch-delay 
interval 

例 如 : [HUAWEI-Vlanif100] 
pim timer dr-switch-delay 360 


3. 配置 Join 信 息 的 过 滤 策 略 




















地 址 范围 。 








advanced-acl-number | advanced-acl-nu mber } 命 令 配置 Join 信 息 过 滤 策 
的 参数 说 明 如 下 。 
(1) asm basic-acl-number: 多 选 一 参数 ， 寺 





围 。 命 令 ， 














在 接口 上 配置 DR 切换 延迟 ， 并 指定 延迟 时 间 ， 
取 值 范围 为 10 一 3 600 的 整数 秒 。 当 出 接口 由 DR 
变 成 非 DR 时 ， 在 延迟 时 间 超 时 之 前 ， 出 接口 继 
续 转 发 数据 

缺 省 情况 下 ， 当 出 接口 由 DR 变 为 非 DR 时 ， 出 
谱 口 立即 停止 转发 数据 ， 可 用 undo pim timer 
dr-switch-delay 命令 取消 接口 上 的 PIM DR 切换 
延迟 功能 











忆 置 
DR 切 


换 延迟 





























( 续 表 ) 





有 时 候 为 了 防止 非法 用 户 的 加 入 ， 还 可 配置 Join 信 息 过 滤 策 略 ， 指 定 Join-Prune 报 文中 Join 信 息 的 合法 源 
lL 体 配置 方法 是 在 对 应 的 PIM 接 口 视图 下 使 用 pimjoin-policy { asm basic-acl-number | ssm 
， 限 定 Join 信 息 的 合法 源 地 址 范 


肯定 用 于 过 滤 在 ASM 组 播 组 地 址 的 Join 信 息 ， 取 值 范围 为 2 





000 一 2 999 。 


言 息 9 取 值 范 


(2) ssm advanced-acl-number: 

















则 接口 缺 省 


不 。 


(3) 
取 值 范 
在 定义 ACL 规 则 时 ， 




















缺 省 情况 下 ， 
【示例 】 














. 围 为 3 000 一 3 999。 
advanced-acl-number: 
围 为 3 000 一 3 999。 
通过 permit 选 项 配置 设备 仅 接 收 指定 地 址 范 
过 滤 掉 Join-Prune 报 文中 所 有 地 址 范围 的 Join 信 息 。 

不 过 滤 Join-Prune 报 文 ! 
配置 VLANIF100 接 收 组 地 址 范 























<HUAWEI> system-view 
[HUAWEI] acl number2001 
[HUAWE1I-acl-basic-2001] rule permit source 225.1.0.0 0.0.255.255 
[HUAWEI-acl-basic-2001] quit 
[HUAWEI] multicast routing-enable 
[HUAWEI] interface vlanif 100 
[HUAWEI-Vlanif100] pim join-policy asm 2001 


4. 配置 PIM BFD 


启用 BFD 功 能 








TE 

















后 ， 可 

















以 实现 毫秒 级 的 快速 故障 检测 。 
BEFD 检 测 到 对 端 故障 以 后 上 报 PIM 模 块 ，PIM 模 块 立 即 触 发 新 一 轮 的 DR 竞选 过 程 ， 
时 ， 这 将 在 很 大 程度 上 缩小 组 播 数据 传输 的 














多 选 一 参数 ， 指 


断 时 间 ， 提 高 组 


定 源 地 址 向 组 地 址 在 SSM 范 围 


多 选 一 参数 ， 指 定 源 地 址 向 ASM 或 者 SSM 组 地 址 








mn 
rT 




















利 ) 





的 Join 信 息 ， 可 用 undo pim join-policy 命 
围 是 225.1.0.0/16 的 Join 信 息 。 





jBFD 来 检测 


内 的 组 播 组 发 送 的 Join 





的 组 播 组 发 送 的 Join 信 




















的 Join 信 息 。 如 果 ACL 未 定义 规则 ， 








令 恢复 缺 省 配置 。 





























上 享 网 段 上 PIM 邻 居 的 状态 ， | 
而 不 是 等 到 邻居 关系 超 

















表 13-19 PIM BFD 的 配置 步骤 


命令 


播 网 络 的 可 靠 性 。 














具体 配置 步骤 如 表 13-19 所 








system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
vlanif 10 


键入 要 配置 BFD 的 PIM 接口 ， 


进入 接口 视图 





pim bfd enable 
例如 : [HUAWEI-Vlanif10] pim 
bfd enable 


在 以 上 接 [ 
接口 PIM BFD 功能 ， 可 
缺 省 情况 下 ， 
enable 命令 取消 接口 上 


上 使 能 PIM BFD 


功能 。 
以 快速 地 检测 
接口 没有 使 能 PIM BFD 
和 PIM BFD 功能 


执行 此 命令 后 将 使 能 
邻居 链 路 故障 
功能 ，undo pim bfd 
3 








pim bfd { min-tx-interval 
tx-value | min-rx-interval 
rx-value | detect-multiplier 
multiplier-value } * 

例如 : [HUAWEI-Vlanif10] pim 
bfd min-tx-interval 300 
min-rx-interval 200 
detect-multiplier 10 





调整 接口 的 PIM BFD 参数 。 
后 ， 有 时 候 
链 路 情况 。 
最 小 发 送 站 
次 数 )。 但 当 
配置 的 参数 可 能 会 受到 影响 。 
(1) min-tx-interval tx-value: 
报 文 的 最 小 发 送 间隔 ， 
缺 省 值 为 1 000ms 
(2) min-rx-interval rx-value: 
报 文 的 最 小 接收 间隔 ， 
缺 省 值 为 1 000ms 
(3) detect-multiplier mul/tiplier-v 
BFD 的 本 地 检 
缺 省 情况 


可 通过 执行 此 命令 
隔 、 最 小 接收 间隔 ， 











需要 调整 PIM BFD 会 话 上 


设置 


设备 上 使 能 了 PIM BFD 功能 


参数 ， 来 适应 当前 
PIM BFD 检测 报 文 的 


以 及 本 地 检 测 倍数 (检测 


可 多 选 


salue: 


其 他 协议 配置 了 同样 的 BFD 参数 时 ,PIM BFD 
命令 中 下 
是 多 选 贿 

芭 值 范围 为 100 一 








数 说 明 如 下 。 
， 指 定 PIM BFD 
1 000 整数 毫秒 。 


i 参数， 指定 PIM BFD 


双 值 范围 为 100 一 1 000 整数 毫秒 。 


可 多 选 参数 ， 指 定 PIM 


测 倍数 ， 取 值 范围 为 3 一 50 的 整数 。 缺 省 值 为 3 
`，PIM BFD 报 文 的 最 小 发 送 间 隔 、 最 小 接收 间 


隔 都 是 1 000ms;PIM BFD 的 本 地 检测 倍数 为 3, 可 用 undo 
pim bfd { min-tx-interval tr-value | re rx-value | 


detect-multiplier maultiplier-val 


数 为 缺 省 值 





ue 了 





令 恢 复 PIM BFD 参 


转发 表 以 及 需要 向 上 游 发 送 的 Join/Prune 信 息 。 这 样 主 备 倒 换 后 ， 新 的 3 


送 Join 信 息 ， 维 持 上 游 的 加 入 状态 。 有 具体 配置 步骤 如 表 13-20 所 示 。 





5. 配置 PIM GR 
在 堆 共 系统! 













































































表 13-20 PIM GR 的 配置 步骤 




















配置 PIM GR 〈Graceful Restart) 功能 后 ， 主 交换 机 会 向 备 交 换 机 备份 PIM 路 由 表 项 、 








交换 机 就 可 以 主动 己 





命令 


| 说 明 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





pim 
例如 : [HUAWEI] pim 


键入 要 配置 BFD 的 PIM 接口 ， 进 


入 接口 视图 





graceful-restart 
例如 : [HUAWEI-pim] 
graceful-restart 


全 局 使 能 PIM GR。 缺 省 情况 下 ， 
undo graceful-restart 命令 去 使 能 


没有 使 能 PIM GR 功能 ， 
PIM GR 功能 








graceful-restart period period 
例如 : [HUAWEI-pim] 
graceful-restart period 200 





配置 PIM GR 的 最 小 周期 ， 用 来 人 








和 置 此 命令 将 覆盖 原 有 配置 
缺 省 情况 下 ，PIM GR 最 小 周期 为 120s， 


证 转发 过 程 中 维持 原 有 


转发 表 项 的 最 小 时 间 ， 取 值 范围 是 90 一 3 600 的 整数 秒 
由 于 PIM GR 是 建立 在 单 播 GR 的 基础 上 的 ,因此 配置 PIM 
GR 最 小 周期 应 大 于 所 依赖 单 播 GR 的 最 小 周期 。 重 复 配 


可 用 undo 


graceful-restart period 命令 恢复 PIM GR 最 小 周期 的 缺 省 值 





13.3.6 PIM-SM 管 理 





数 配置 信息 ， 如 查看 BSR、RP、PIM 接 


配置 好 PIM-SM (ASM 或 者 SSM 模 型 ) 后， 可 以 通过 一 系列 display 任 意 视图 
门 、PIM 邻 居 和 PIM 路 由 表 等 信息 ， 以 验证 配置 及 PIM-SM 运 行 结 


























术 。 








(1) 使 ) 
(2) 使 
(3) 使 
































jdisplay pimbsr-info 命 令 查看 BSR 的 信息 。 
jdisplay pimrp-info [group-address ] 命令 查看 所 有 或 者 指定 组 播 组 的 RP 信息 
jdisplay pim interface [ interface-type interface-number |up |down ] [verbose ] 命令 查看 所 有 或 者 指 


























o 


组 播 





R 速 地 向上 游 发 


命令 PIM-SM 相 关 功 能 





定 接口 ， 或 者 状态 为 Up 或 者 Down 接 口上 的 摘要 或 者 详细 (选择 verbose 可 选项 时 ) PIM 信 息 。 


令 碍 看 指定 邻 














(4) 使 用 























(5) 使 用 





居 或 者 (和) 接 




















参 


display pimneighbor [ neighbor-address | interface interface-type interface- number | verbose ] * 命 
口上 的 PIM 邻 居 信息 。 
display pimrouting-table [group-address [mask {group-mask-length |group- mask } ] | source- 


address [mask {source-mask-length |source-mask } ] | incoming-interface {interface-typeinterface-number |register } 


loutgoing-interface {include lexclude |match } {interface- type interface-number |register |none } |Imode {dm lsm 


lssm } |flags flag- value |fsm ] * [outgoing- interface-number [number ] ] 命令 查看 符合 条 件 的 PIM 路 


信息 。 











(6) 使 用 


























| 表 











的 详 











display pimrouting-tablebrief [group-address [mask {group-mask-length |group-mask } ] |source- 


address [mask {source-mask-length |source-mask } ] | incoming- interface { interface-type interface-number |register 


} ] * 命 令 查 看 符合 条 伯 

















(7) 使 有 








F 的 PIM 路 
jdisplay pimbfd session statistics 命 令 查 看 PIM BFD 会 话 统计 信 ) 











| 表 摘 要 信息 。 





























证 


; 使 








interface interface-type interface-number |neighborneighbor-address ] * 命 令 查 看 指定 接口 上 或 者 与 指定 多 


和 


MPIM BFD 会 话 信 息 。 
(8) 使 














播 路 











| 信 县 9 


(9) 使 用 
































jdisplay pim claimed-route [ source-address ] 命令 查看 所 有 或 者 指定 组 播 组 中 

















jdisplay pimbfdsession [ 
b 居 之 i 


PIM 协 议 使 用 的 和 


pim control-message counters [message-type { assert | graft |graft-ack |hello | join-prune | state-refresh | bsr } | 





I 


display pim control-message countersmessage-type {probe | register |register-stop | crp } 或 display 


interface interface-type interface- number ] * 命 令 查看 发 送 、 接 收 和 无 效 的 PIM 控 制 报 文 数目 。 
(10) 使 用 display pim invalid-packet [ interface interface-type interface-number |message-type { assert |bsr 
|hello | join-prune |graft | graft-ack | state-refresh } ] * 命 令 查看 设备 接收 到 的 无 效 PIM 报 文 的 统计 信息 。 
(11) 使 用 reset pim control-message counters [ interface interface-type interface- number ] 命令 清除 PIM 控 


制 报 文 统计 信息 。 









































13.3.7 PIM-SM (ASM 模 型 ) 配置 示例 






































本 示例 拓扑 结构 如 图 13-8 所 示 ， 是 一 个 单 域 PIM-SM 网 络 。 现 用 户主 机 HostA、HostB 希 望 能 够 接收 到 
Source 发 送 的 组 播 数据 。 

1. 基本 配置 思路 分 析 

本 示例 中 没有 明确 要 求 用 户 仅 接收 指定 组 播 源 发 来 的 数据 ， 所 以 可 以 通过 PIM-SM ASM 模 型 来 实现 ， 
使 得 加 入 同一 组 播 组 的 所 有 用 户主 机 能 够 接收 任意 源 发 往 该 组 的 组 播 数 据 。 总 体 配置 任务 如 下 《〈 主 要 为 
PIM-SM ASM 的 基本 功能 配置 ) 。 

(1) 配置 交换 机 各 VLAN 接 口 IP 地 址 和 单 播 路 由 协议 。 组 播 域内 路 由 协议 PIM 依 赖 单 播 路 由 协议 ， 单 
播 路 由 正常 是 组 播 协议 正常 工作 的 基础 。 

(2) 在 所 有 提供 组 播 服务 的 交换 机 上 使 能 组 播 路 由 功能 ， 是 配置 PIM-SM 的 前 提 。 

(3) 在 交换 机 所 有 接口 上 使 能 PIM-SM 功 能 ， 然 后 才能 配置 PIM-SM 的 其 他 功能 。 

(4) 在 与 主机 侧 相 连 的 交换 机 接口 上 使 能 IGMP。 组 播 组 成 员 能 通过 发 送 IGMP 消 息 自由 加 入 或 者 离开 
某 个 组 播 组 。 叶 节点 交换 机 通过 IGMP 协 议 来 维护 组 成 员 关 系列 表 。 

如 果 用 户主 机 侧 需 同时 配置 PIM-SM 和 IGMP， 必 须 先 使 能 PIM-SM， 再 使 能 IGMP。 
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图 13-8 ASM 模 型 的 PIM-SM 域 内 组 播 配 置 示例 











(5) 可 在 与 主机 侧 相 连 的 交换 机 接口 上 使 能 PIM Silent， 防 止 恶意 主机 模拟 发 送 PIM Hello 报 文 ， 增 加 
PIM-SM 域 的 安全 性 。 但 如 果 用 户主 机 (如 HostB〉 所 在 网 段 相连 着 多 台 交 换 机 ， 那 么 这 些 交 换 机 的 用 户主 
机 侧 接 口 不 能 使 能 PIM Silent， 如 图 中 的 SwitchB、SwitchC 的 对 应 接口 。 
























































(6) 配置 RP。 在 PIM-SM 域 
置 配置 在 组 播 流 量 分 支 较 多 的 交 










































































中 ，RP 是 提供 ASM 服 务 的 核心 ， 是 转发 组 播 数据 的 中 转 站 。 建 议 RP 的 位 
换 机 上 ， 如 图 中 的 SwitchE 的 位 置 。 



























































(7) 在 与 外 域 相 连 的 SwitchD GE0/0/1 接 口上 配置 BSR 边 界 ， 自 举报 文 不 能 通过 该 边界 ， 使 BSR 只 为 该 


PIM-SM 域 服务 ， 增 加 组 播 可 控 性 




















2. 具体 配置 步 双 


br 


下 面 是 以 上 各 配置 任务 的 具 
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本 配置 步 又 。 






























































(1) 按照 图 中 标注 配置 各 交换 机 VLAN 接 口 的 卫 地 址 和 掩 码 ， 配 置 各 交换 机 间 采 用 OSPF 进 行 互 连 ， 确 





















































保 网 络 中 各 交换 机 间 能 够 在 网 络 























民 互 通 。 





羽 为 SwitchA、SwitchB、SwitchC、SwitchD 和 SwitchE 上 的 配置 方 


法 一 样 ， 所 以 下 面 仅 以 SwitchA 上 的 配置 为 例 进行 介绍 。 





[SwitchA] vlan batch 10 20 30”#--- 批 量 创 建 YVLAN 10、VLAN 20 和 VLAN 30 


[SwitchA] interface gigabitethernet0/0/1 





[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 


[SwitchA] interface gigabitethernet0/0/2 


[SwitchA-GigabitEthernet0/0/2] port hybrid pvid vlan 20 
[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20 
[SwitchA-GigabitEthernet0/0/2] quit 


[SwitchA] interface gigabitethernet0/0/3 


[SwitchA-GigabitEthernet0/0/3] port hybrid pvid vlan 30 
[SwitchA-GigabitEthernet0/0/3] port hybrid untagged vlan 30 
[SwitchA-GigabitEthernet0/0/3] quit 


[SwitchA] interface vlanif 10 


[SwitchA-Vlanif10] ip address 192.168.5.1 24 


[SwitchA-Vlanif10] quit 
[SwitchA] interfacevlanif 20 


[SwitchA-Vlanif20] ip address 10.110.1.1 24 


[SwitchA-Vlanif20] quit 
[SwitchA] interfacevlanif 30 


[SwitchA-Vlanif30] ip address 192.168.1.1 24 


[SwitchA-Vlanif30] quit 
[SwitchA] ospf 
[SwitchA-ospf-1] area 0 


[SwitchA-ospf-1-area-0.0.0.0] network10.110.1.0 0.0.0.255 
[SwitchA-ospf-1-area-0.0.0.0] network192.168.1.0 0.0.0.255 
[SwitchA-ospf-1-area-0.0.0.0] network192.168.5.0 0.0.0.255 


[SwitchA-ospf-1-area-0.0.0.0] 
[SwitchA-ospf-1] quit 


duit 





(2) 在 所 有 交换 机 使 能 组 播 路 由 功能 ， 在 各 VLAN 接 口上 使 能 PIM-SM 功 能 。 同 样 因为 SwitchA、 
SwitchB、SwitchC、SwitchD 和 SwitchE 上 的 配置 方法 一 样 ， 所 以 也 仅 以 SwitchA 为 例 进 行 介绍 。 






































[SwitchA] multicast routing-enable 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] pim sm 
[SwitchA-Vlanif10] quit 
[SwitchA] interfacevlanif 20 
[SwitchA-Vlanif20] pim sm 
[SwitchA-Vlanif20] quit 
[SwitchA] interfacevlanif 30 
[SwitchA-Vlanif30] pim sm 
[SwitchA-Vlanif30] quit 
(3) 在 SwitchA 连 接 用 户主 机 的 接口 上 使 能 IGMP 功 能 。SwitchB 和 SwitchC 上 的 配置 过 程 与 SwitchA 上 
的 配置 相似 ， 配 置 过 程 略 。 
[SwitchA] interfacevlanif 20 
[SwitchA-Vlanif20] igmp enable 
(4) 在 SwitchA 接 口上 使 能 PIM silent。 
[SwitchA] interfacevlanif 20 
[SwitchA-Vlanif20] pim silent 
(5) 配置 RP。 配 置 RP 有 两 种 方式 ， 静态 RP 和 动态 RP。 可 以 同时 配置 ， 也 可 以 只 配置 其 中 一 种 。 同 时 
配置 两 种 RP 时 ， 可 以 通过 参数 调整 优先 选择 哪 种 RP。 本 实例 同时 配置 两 种 RP， 缺 省 优选 动态 RP， 静 态 RP 
作为 备份 。 
下 面 是 配置 动态 RP 的 方法 ， 需 要 将 PIM-SM 域 的 一 个 或 多 个 交换 机 上 配置 为 C-RP 和 C-BSR。 本 例 中 指 
定 SwitchE 同 时 为 C-RP 和 C-BSR， 在 SwitchE 上 配置 RP 服务 的 组 地 址 范围 ， 及 C-BSR 和 C-RP 所 在 接口 位 置 。 
[SwitchE] acl number2008 
[SwitchE-acl-basic-2008] rule permit source225.1.1.0 0.0.0.255 
[SwitchE-acl-basic-2008] guit 
[SwitchE] pim 



































































































































































































































































































































[SwitchE-pim] c-bsrvlanif 60 

[SwitchE-pim] c-rp vlanif 60 group-policy 2008 

下 面 是 配置 静态 RP 的 方法 ， 需 要 在 所 有 交换 机 上 指定 静态 RP 的 地 址 。 因 为 SwitchA、SwitchB、 
SwitchC、SwitchD 和 SwitchE 上 的 配置 方法 一 样 ， 下 面 仅 以 SwitchA 上 的 配置 为 例 进行 介绍 。 

[SwitchA] pim 

[SwitchA-pim] static-rp 192.168.2.2 

(6) 在 SwitchD 与 外 域 相连 的 接口 上 配置 BSR 边 界 。 
[SwitchD] interfacevlanif 70 


































































































[SwitchD-Vlanif70] pim bsr-boundary 

[SwitchD-Vlanif70] quit 

配置 好 后 ， 可 通过 display pim interface 命 令 查 看 接口 上 PIM 的 配置 和 运行 情况 ， 以 验证 配置 结果 。 
SwitchC 上 PIM 的 显示 信息 如 下 。 


<SwitchC>display pim interface 




































































VPN-Instance: public net 


Interface State NbrCnt HelloInt DR-Pri DR-Address 

Vlanif40 up 0 30 1 10.110.2.2 (local) 

Vlanif50 up 1 30 J 192.168.3.1 (local) 

可 通过 display pim bsr-info 命 令 查 看 交换 机 上 BSR 选 举 的 信息 。SwitchA 和 SwitchE 上 BSR 信 息 分 别 如 下 
(SwitchE 上 还 显示 C-BSR 信 息 ) 。 

<SwitchA>display pim bsr-info 



































VPN-Instance: public net 
Elected AdminScoped BSR Count: 0 
Elected BSR Address: 192.168.4.2 
Priority: 0 
Hash mask length: 30 
State: Accept Preferred 
Scope: Not scoped 
Uptime: 01:40:40 
Expires: 00:01:42 
C-RP Count: 1 
<SwitchE>display pim bsr-info 
VPN-Instance: public net 
Elected AdminScoped BSR Count: 0 
Elected BSR Address: 192.168.4.2 
Priority: 0 
Hash Mask length: 30 
State: Elected 
Scope: Not scoped 
Uptime: 00:00:18 
Next BSR message scheduled at :00:01:42 
C-RP Count: 1 
Candidate AdminScoped BSR Count: 0 
Candidate BSR Address: 192.168.4.2 
Priority: 0 
Hash mask length: 30 
State:Elected 
Scope: Not scoped 
Wait to be BSR: 0 
可 通过 display pim rp-info 命 令 查 看 Switch 上 获取 的 RP 信息 。SwitchA 上 RP 信息 如 下 。 
<SwitchA>display pim rp-info 


























VPN-Instance: public net 
PIM-SM BSR RP Number:1 
Group/MaskLen: 225.1.1.0/24 

RP: 192.168.4.2 


Priority: 0 
Uptime: 00:45:13 
Expires: 00:02:17 

PIM SM static RP Number:1 
Static RP: 192.168.2.2 























可 通过 display pim routing-table 命令 查看 PIM 协议 组 播 路 由 表 。 组 播 源 《〈《10.110.3.100/24) 向 组 播 组 




















(225.1.1.1/24) 发 送信 息 ，HostA、HostB 都 加 入 了 组 播 组 (225.1.1.1/24) 。SwitchA 上 的 PIM 组 播 路 由 表 显 








示 如 下 ， 其 他 交换 机 上 组 播 路 由 表 显 示 类 似 。 












































表 项 。 因 此 交换 机 上 显示 的 〈S，G) 路 由 表 项 一 般 都 是 SP 
[SwitchA] display pim routing-table 

















VPN-Instance: public net 
Total 1 (*, G) entry; 1 (S, G) entry 
(*, 225.1.1.1) 
RP: 192.168.4.2 
Protocol: pim-sm, Flag: WC 
UpTime: 00:13:46 
Upstream interface: Vlanif10, 
Upstream neighbor: 192.168.5.2 
RPF prime neighbor: 192.168.5.2 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlanif20 
Protocol: pim-sm, UpTime: 00:13:46, Expires:- 
(10.110.3.100, 225.1.1.1) 
RP: 192.168.4.2 
Protocol: pim-sm, Flag: SPT ACT 
UpTime: 00:00:42 
Upstream interface: Vlanif30 
Upstream neighbor: 192.168.1.2 
RPF prime neighbor: 192.168.1.2 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlanif20 
Protocol: pim-sm, UpTime: 00:00:42, Expires:- 





13.3.8 PIM-SM (SSM 模 型 ) 配置 示例 
































缺 省 情况 下 ， 组 成 员 端 DR 在 收 到 组 播 源 发 来 的 第 一 份 组 播 数据 后 就 会 触发 SPT 切 换 ， 新 建 0S，G) 路 


TI 切换 后 的 (S$，G) 路 由 表 项 。 


本 示例 拓扑 结构 如 图 13-9 所 示 ， 是 一 个 单 域 PIM-SM 网 络 。 现 HostA 和 希望 能 够 接收 组 播 源 











S1 (10.110.4.100/24) 、S2 (10.110.3.100/24) 发 送 的 组 播 数 提 


居 ， 而 HostB 希 望 能 够 接收 组 播 源 S52 发 送 的 组 播 


1. 基本 配置 思路 分 析 

本 示例 要 求 组 播 组 成 员 仅 接收 指定 源 的 组 播 数 据 ， 所 以 需要 采用 PIM-SM SSM 模 型 ， 使 得 用 户主 机 在 
加 入 组 播 组 的 同时 能 够 接收 到 自己 所 指定 的 组 播 源 的 组 播 数据 。 

相对 于 PIM-SM ASM 模 型 来 说 ，SSM 模 型 的 配置 要 简单 许多 ， 因 为 它 既 不 需要 维护 RP， 也 不 需要 专门 
构建 SPT， 也 无 需 注 册 组 播 源 ， 仅 需要 使 能 SSM 服 务 ， 配 置 用 于 限定 接收 指定 组 播 源 数据 的 组 策略 。 下 面 是 
本 示例 的 基本 配置 任务 。 

(1) 配置 交换 机 接口 JP 地 址 和 单 播 路 由 协议 。 

(2) 在 所 有 提供 组 播 服 务 的 交换 机 上 使 能 组 播 功 能 。 

(3) 在 交换 机 所 有 接口 上 使 能 PIM-SM 功 能 。 

(4) 在 与 主机 侧 相连 的 交换 机 接口 上 使 能 IGMP， 并 配置 IGMP 协 议 的 版 本 号 为 v3， 因 为 在 不 启用 SSM 
Mapping 的 情况 下 仅 IGMPv3 支 持 SSM 服 务 。 

如 果 用 户主 机 侧 需 同时 配置 FIM-SM 和 IGMP， 必 须 先 使 能 PIM-SM， 再 使 能 IGMP。 

(5) 在 与 主机 侧 相连 的 交换 机 接口 上 使 能 PIM Silent， 防 止 恶意 主机 模拟 发 送 PIMHello 报 文 ， 增 加 
PIM-SM 域 的 安全 性 。 同 样 ， 如 果 用 户主 机 所 在 网 段 相连 着 多 台 交 换 机 ， 那 么 这 些 交换 机 的 用 户主 机 侧 接口 
不 能 使 能 PIM Silent， 如 图 中 的 SwitchB、SwitchC。 
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图 13-9 SSM 模 型 的 PIM-SM 域 内 组 播 配 置 示例 拓扑 结构 


























(6) 在 各 交换 机 上 设置 SSM 组 地 址 范围 。 使 PIM-SM 域内 的 交换 机 为 特定 组 地 址 范围 内 的 SSM 服 
务 ， 实 现 可 控 组 播 。 但 各 交换 机 上 设置 SSM 组 地 址 范围 必须 相同 。 
(7) 在 HostA 和 HostB 主 机 连接 的 交换 机 VLANIF 接 口上 配置 Join-Prune 报 文 过 滤 ， 以 实现 仅 接 收 来 自 限 
定 组 播 源 的 组 播 数 据 。 
2. 具体 配置 步 又 
下 面 是 本 示例 的 具体 配置 步骤 。 
(1) 按照 图 13-9 中 的 标注 配置 各 交换 机 VLAN 接 口 的 IP 地 址 和 掩 码 ， 配 置 各 交换 机 间 采 用 OSPF 进行 
互 连 ， 确 保 网 络 中 各 交换 机 间 能 够 在 网 络 层 互通 。 因 为 SwitchA、SwitchB、SwitchC、SwitchD、SwitchE 和 








































































































































































































[SwitchA] vlan batch 10 20 30 
[SwitchA] interface gigabitethernet0/0/1 
[SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10 


[SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10 


[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet0/0/2 
[SwitchA-GigabitEthernet0/0/2] port hybrid pvid vlan 20 


[SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20 


[SwitchA-GigabitEthernet0/0/2] quit 
[SwitchA] interface gigabitethernet0/0/3 
[SwitchA-GigabitEthernet0/0/3] port hybrid pvid vlan 30 


[SwitchA-GigabitEthernet0/0/3] port hybrid untagged vlan 30 


[SwitchA-GigabitEthernet0/0/3] quit 
[SwitchA | interfacevlanif 10 
[SwitchA-Vlanif10] ip address 192.168.5.1 24 
[SwitchA-Vlanif10] guit 

[SwitchA | interfacevlanif 20 
[SwitchA-Vlanif20] ip address 10.110.1.1 24 
[SwitchA-Vlanif20] quit 

[SwitchA] interfacevlanif 30 
[SwitchA-Vlanif30] ip address 192.168.1.1 24 
[SwitchA-Vlanif30] quit 

[SwitchA] ospf 

[SwitchA-ospf-1] area 0 
[SwitchA-ospf-1-area-0.0.0.0] network10.110.1.0 0.0.0.255 


[SwitchA-ospf-1-area-0.0.0.0] network192.168.1.0 0.0.0.255 
[SwitchA-ospf-1-area-0.0.0.0] network 192.168.5.0 0.0.0.255 


[SwitchA-ospf-1-area-0.0.0.0] quit 
[SwitchA-ospf-1] quit 
(2) 在 所 有 交换 机 使 能 组 播 路 由 功能 ， 在 各 VLAN 接 口 

















SwitchF 上 的 配置 方法 一 样 ， 所 以 下 面 仅 以 SwitchA 为 例 进行 介绍 。 





上 使 能 PIM-SM 功 能 。 同 档 


因为 SwitchA、 

















SwitchB、SwitchC、SwitchD、SwitchE 和 SwitchF 的 配置 方法 一 样 ， 所 以 下 面 也 仅 以 SwitchA 为 例 进 行 介 


绍 。 


[SwitchA] multicast routing-enable 
[SwitchA] interfacevlanif 10 
[SwitchA-Vlanif10] pim sm 
[SwitchA-Vlanif10] guit 
[SwitchA | interfacevlanif 20 
[SwitchA-Vlanif20] pim sm 
[SwitchA-Vlanif20] quit 


[SwitchA] interface vlanif 30 
[SwitchA-Vlanif30] pim sm 
[SwitchA-Vlanif30] quit 
(3) 在 SwitchA 连 接 用 户主 机 的 接 
上 的 配置 相似 ， 配 置 过 程 略 。 
[SwitchA] interfacevlanif 20 
[SwitchA-Vlanif20] igmp enable 
[SwitchA-Vlanif20] igmp version 3 
(4) 在 SwitchA 接 口上 使 能 PIM silent。 
[SwitchA] interfacevlanif 20 
[SwitchA-Vlanif20] pim silent 
(5) 在 所 有 交换 机 配置 SSM 组 播 组 地 址 范围 为 232.1.1.0/24。 因 为 SwitchA、SwitchB、SwitchC、 
SwitchD、SwitchE 和 SwitchF 的 配置 方法 一 样 ， 所 以 下 面 仅 以 SwitchA 为 例 进 行 介绍 。 
[SwitchA] acl number2000 
[SwitchA-acl-basic-2000] rule permit source232.1.1.0 0.0.0.255”#--- 限 定 232.1.1.0/24 范 围 的 组 播 组 报 文通 









































上 使 能 IGMPv3 功 能 。SwitchB 和 SwitchC 上 的 配置 过 程 与 SwitchA 
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过 
[SwitchA-acl-basic-2000] quit 
[SwitchA] pim 
[SwitchA-pim] ssm-policy 2000 
(6) 在 SwitchA 的 VLANIF20 接 口上 配置 Join-Prune 报 文 过 滤 ， 指 定 HostA 可 接收 组 播 源 S1 和 S2 发 来 的 组 
播 数 据 。 
[SwitchA-pim] quit 
[SwitchA] acl number 3001 
[SwitchA-acl-adv-3001] rule permit source 10.110.3.100 0destination 232.1.1.0 0.0.255.255 
[SwitchA-acl-adv-3001] rule permit source 10.110.4.100 0destination 232.1.1.0 0.0.255.255 
[SwitchA-acl-adv-3001] quit 
[SwitchA] interface vlanif 20 

















[SwitchA -Vlanif20] pim join-policy asm 3001 
(7) 在 SwitchB 和 SwitchC 的 VLANIF40 接 口上 配置 Join-Prune 报 文 过 滤 ， 指 定 HostB 仅 可 接收 组 播 源 S2 
发 来 的 组 播 数据 。 因 SwitchB 和 SwitchC 的 一 样 ， 在 此 仅 以 SwitchB 上 的 配置 为 例 进 行 介 绍 。 
[SwitchB] acl number 3001 
[SwitchB-acl-adv-3001] rule permit source 10.110.3.100 0destination 232.1.1.0 0.0.255.255 
[SwitchB-acl-adv-3001] guit 
[SwitchB] interface vlanif 40 














[SwitchB-Vlanif40] pim join-policy asm 3001 
配置 好 后 ， 可 通过 display pim interface 命 令 查 看 接口 上 PIM 的 配置 和 运行 情况 ， 以 验证 配置 结果 。 
SwitchC 上 PIM 的 显示 信息 如 下 。 


<SwitchC>display pim interface 







































































VPN-Instance: public net 


Interface State NbrCnt HellolInt DR-Pri DR-Address 
Vlanif40 up 0 30 1 10.110.2.2 (local) 
Vlanif50 up 上 30 1 192.168.3.1 (local) 
可 通过 display pim routing-table 命 令 查看 PIM 协 议 组 播 路 由 表 。SwitchA 和 SwitchB 上 的 显示 信息 如 下 。 
从 中 可 以 看 出 HostA 接收 了 组 播 源 (10.110.3.100/24) 和 组 播 源 〈 10.110.4.100/24 ) 发 往 组 播 组 
232.1.1.1/24 ) 的 信息 ， HostB 只 接收 了 组 播 源 〈10.110.3.100/24) 发 往 组 播 组 〈232.1.1.1/24) 的 信息 ， 达 
到 了 要 求 。 
[SwitchA] display pim routing-table 
















































































VPN-Instance: public net 
Total 2 (S, G) entry 
(10.110.3.100, 232.1.1.1) 
Protocol: pim-ssm, Flag: SG_RCVCR 
UpTime: 00:13:46 
Upstream interface: Vlanif10, 
Upstream neighbor: 192.168.5.2 
RPF prime neighbor: 192.168.5.2 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlanif20 
Protocol: pim-ssm, UpTime: 00:13:46, Expires:- 
(10.110.4.100, 232.1.1.1) 
Protocol: pim-ssm, Flag: SG_RCVCR 
UpTime: 00:00:42 
Upstream interface: Vlanif30 
Upstream neighbor: 192.168.1.2 
RPF prime neighbor: 192.168.1.2 
Downstream interface(s) information: 
Total number of downstreams: 1 
1: Vlanif20 
Protocol: pim-ssm, UpTime: 00:00:42, Expires:- 
[SwitchB] display pim routing-table 
VPN-Instance: public net 
Total 1 (S, G) entry 
(10.110.3.100, 232.1.1.1) 
Protocol: pim-ssm, Flag: SG_RCVCR 
UpTime: 00:10:12 
Upstream interface: Vlanif90, 
Upstream neighbor: 192.168.2.2 
RPF prime neighbor: 192.168.2.2 


Downstream interface(s) information: 


Total number of downstreams: 1 
1: Vlanif40 
Protocol: pim-ssm, UpTime: 00:10:12, Expires:- 




















13.4 IGMP Snooping 配 置 与 管理 





IGMP Snooping 是 一 种 IPv4 二 层 组 播 协议 ， 通 过 侦 听 三 层 组 播 设备 和 用 户主 机 之 间 发 送 的 组 播 协议 报 文 
来 维护 组 播报 文 的 出 端口 信息 ， 从 而 管理 和 控制 组 播 数 据 报 文 在 数据 链 路 层 的 转发 。 
































13.4.1 IGMP Snooping 特 性 的 产品 支持 














华为 系列 交换 机 支持 的 IGMP Snooping 特 性 包括 IGMP Snooping 基 本 功能 、IGMP Snooping Proxy 功 
能 、IGMP Snooping 策 略 、 成 员 关 系 快速 刷新 以 及 IGMP Snooping SSM Mapping 等 。IGMP Snooping 作 为 一 
个 二 层 组 播 特 性 ， 本 章 中 涉及 接口 的 配置 ， 都 是 在 二 层 物 理 接口 〈 包 括 Eth-Trunk 接 口 ) 下 进行 配置 。 仅 
IGMP Snooping 基 本 功能 必须 配置 ， 其 他 均 为 可 选 配置 。 
1. IGMP Snooping 基 本 功能 
华为 S 系 列 交换 机 所 支持 的 基于 VLAN 的 IGMP Snooping (还 有 一 种 基于 VSI 的 IGMP Snooping， 本 书 不 
作 介 绍 ) 的 基本 功能 如 下 。 
(1) 支持 IGMPv1、IGMPv2 和 IGMPv3， 版 本 可 配置 。 由 于 不 同 版 本 的 IGMP 协 议 报 文 不 相同 ， 因 此 需 
要 为 交换 机 配置 和 上 游 三 层 设 备 相 同 的 版 本 。 
(2) 文 持 配置 静态 路 由 器 端口 和 成 员 端 口 ， 实 现 组 播 数据 快速 稳定 转发 。 
(3) 文 持 配置 IGMP Snooping 查 询 器 功能 ， 当 上 游 没 有 启用 IGMP 碍 询 器 时 ， 交 换 机 可 以 代替 上 游 设 
备 发 送 IGMP 查 询 报 文 。 
(4) 支持 IGMP Snooping 报 文 抑制 功能 ， 对 成 员 主 机 上 送 的 IGMP Report 和 Leave 报 文 进行 抑制 ， 从 而 
降低 上 游 设 备 的 报 文 交互 数量 ， 提 升 系统 性 能 。 
(5) 支持 配置 Router-Alert 选 项 ， 提 高 设备 性 能 以 及 网 络 安全 性 。 
(6) 支持 配置 抑制 动态 加 入 ， 禁 止 VLAN 内 收 到 的 Report 和 Leave 报 文 向 配置 有 静态 组 的 上 游 三 层 设备 
转发 。 
2. IGMP Snooping Proxy 功 能 
通过 在 二 层 设备 上 配置 IGMP Snooping Proxy 功 能 ， 可 以 同时 具备 报 文 抑制 功能 和 查询 器 功能 。 配 置 了 
IGMP Snooping Proxy 功 能 的 交换 机 ， 在 其 上 游 设备 看 来 ， 相 当 于 一 台 主 机 ， 而 在 其 下 游 主 机 看 来 ， 则 相当 
于 一 台 查 询 器 。 
3. IGMP Snooping 策 略 
根据 不 同 的 场景 要 求 ， 可 以 在 交换 机 上 进行 如 下 配置 ， 对 组 播报 文 进行 过 滤 。 
(1) 通过 配置 组 播 组 过 滤 策 略 ， 可 以 限制 用 户 加 入 的 组 播 组 范围 。 
过 配置 接口 可 以 学 习 的 最 大 组 播 转 发 表 项 数量 ， 可 以 控制 接口 上 的 组 播 数据 流量 。 
(3) 通过 配置 接口 下 组 播 数据 过 滤 ， 可 以 拒绝 从 指定 VLAN 收 到 的 组 播 数据 。 
(4) 通过 配置 丢弃 未 知 组 播报 文 ， 使 未 知 组 播报 文 不 在 VLAN 内 广播 。 
4. 成 员 关 系 快速 刷新 
成 员 关系 快速 刷新 ， 即 成 员 加 入 或 者 离开 组 播 组 时 交换 机 快速 响应 成 员 变 化 ， 可 以 提高 组 播 业 务 运行 
效率 和 用 户 体验 。 主 要 包括 以 下 几 个 功能 。 
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SSM 提 供 




















证 N 并 


\， 提 供 





调整 动态 成 员 端 口 
调整 动态 路 由 器 端 
成 员 端 口 快速 离开 。 





二 层 网 络 拓 才 





老化 时 间 。 
老化 时 间 。 

















变化 时 发 送 查 询 报 文 。 
5. IGMP Snooping SSM Mapping 





















































表 13-21 IGMP 


功能 或 参数 


了 一 种 能 够 在 成 员 端 指定 组 播 源 的 传输 服务 ， 需 要 IGMPv3 的 支持 。 如 果 某 些 组 播 组 成 员 主 机 
能 运行 IGMPv1 或 IGMPv2， 可 以 在 交换 机 上 配置 IGMP Snooping SSM Mapping 功 能 ， 使 组 播 组 与 组 播 源 
间 能 够 建立 一 一 对 应 的 映射 关系 ， 将 IGMPv1 或 IGMPv2 报 文中 所 包含 的 (*，G) 信息 映射 为 (S，G) 信 
提供 SSM 组 播 服务 。 

以 上 IGMP Snooping 功 能 和 参数 的 缺 省 





配置 如 表 13-21 所 示 。 








Snooping 缺 省 配置 

















缺 省 值 





IGMP Snooping 功能 


未 使 能 





IGMP Snooping 版 本 


IGMP Snooping 使 能 后 ， 缺 省 的 版 本 为 IGMPv2 





IGMP Snooping 端口 学 习 功 能 


IGMP Snooping 使 能 后 ， 该 功能 缺 省 使 能 





IGMP Snooping 查询 器 


未 使 能 





IGMP Snooping 报 文 抑制 


未 使 能 





IGMP Snooping Proxy 


未 使 能 





- 层 组 播 SSM Mapping 


未 使 能 





13.4.2 IGMP Snoopin 
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全 已 无 


























配置 IGMP Snooping 基 本 功能 ， 设 备 可 以 建立 并 维护 二 层 组 播 转 发 表 ， 实 现 组 播 数 据 报 文 在 数据 链 路 





层 的 按 需 分 发 。 在 配置 IGMP Snooping 基 本 功能 之 前 ， 需 完成 连接 接口 并 配置 接口 的 物理 参数 ， 使 其 物理 











层 状态 为 Up; 创建 VLAN 并 将 对 应 接口 加 入 VLAN 中 。 

















1. 使 能 IGMP Snooping 功 能 
使 能 全 局 IGMP Snooping 功 能 ， 是 进行 其 他 IGMP Snooping 配 置 的 前 提 。VLAN 下 使 能 IGMP Snooping 
功能 ， 是 VLAN 下 其 他 IGMP Snooping 配 置 生效 的 前 提 。 











缺 省 











情况 下 ， 交 换 机 的 全 
2. 配置 IGMP Snooping 版 本 


























IGMP 协议 上 





IGMP Snooping 版 本 ， 设 备 可 以 处 理 




















本 。 如 果 三 











j 于 组 成 员 关 系 管 理 












































局 IGMP Snooping 功 能 


E， 运 行 于 三 层 组 播 设备 和 成 员 主 机 之 间 的 
相应 版 本 的 IGMP 报 文 。 一 般 二 层 设备 上 配置 和 三 层 组 播 设备 一 致 的 版 
民 组 播 设 备 没有 启用 IGMP， 则 在 二 层 设备 上 配置 和 成 员 主 机 相同 或 高 于 成 员 主 机 的 版 本 。 同 一 


















































具体 包括 以 下 配置 任务 。 








未 使 能 。 


Le 











网 段 。 在 二 层 设备 上 配 
















































































VLAN 内 必须 运行 同一 个 版 本 的 IGMP 协 议 。 如 果 VLAN 内 存在 支持 不 同 版 本 的 主机 ， 需 要 配置 IGMP 














Snooping 版 本 ， 使 设备 可 以 处 理 所 有 主机 的 报 文 。 


3. 
路 由 








日 
候 








器 端口 








(可 选 ) 配置 静态 路 由 器 端 
层 设 备 上 朝向 上 游 三 层 组 播 设 备 〈 组 播 路 由 





口 




















器 或 三 层 交 换 机 ) 的 接口 。VLAN 内 使 能 














IGMP Snooping 功 能 后 ， 加 入 该 VLAN 的 接 
Query 报 文 或 PIM Hello 报 文 时 ， 二 
是 接收 上 游 的 组 播 数 据 ， 二 是 指导 





后 ， 仅 会 向 




















动态 路 

















层 设 备 会 标识 该 接 

















会 从 组 播 协议 报 文中 学 习 表 项 。 当 一 个 接口 接收 到 IGMP 
口 为 动态 路 由 器 端口 。 路 由 器 端口 主要 有 两 个 功能 : 一 












































IGMP Report/Leave 报 文 转发 。 当 VLAN 内 收 到 IGMP Report/Leave 报 文 
该 VLAN 内 的 路 由 器 端口 转发 。 
| 器 端口 会 定时 老化 ， 





当 动态 路 由 器 端口 在 其 老化 时 间 超 时 前 没有 收 到 IGMP Query 或 者 PIM 





























Hello 报 文 ， 设 备 将 把 该 接口 从 路 由 器 端口 列表 中 删除 。 如 果 和 希望 某 接 口 长 期 稳定 地 转发 IGMP Report/Leave 























报 文 到 上 游 IGMP 碍 询 器 ， 可 配置 该 接口 为 静态 路 由 器 端口 。 
4. 《可 选 ) 配置 静态 成 员 端口 





















































成 员 端 口 是 设 备 上 朝向 组 播 组 成 员 主 机 的 接口 ， 表 示 该 接口 下 有 组 播 组 成 员 ， 可 以 通过 组 播 协议 动态 

















学 习 或 静态 配置 。VLAN 内 使 能 IGMP Snooping 功 能 后 ， 加 入 该 VLAN 的 接口 会 从 组 ] 



























































播 组 或 组 播 源 组 ， 成 为 静态 成 员 端 口 。 静 态 成 员 端口 不 会 老化 。 
5. (可 选 ) 配置 IGMP Snooping 查 询 器 






































圭 协 议 报 文中 学 习 表 
项 。 当 一 个 接口 收 到 IGMP Report 报 文 时 ， 设 备 会 标识 该 接口 为 动态 成 员 端 口 。 动 态 成 员 端 口 会 定时 老化 。 
如 果 接口 所 连接 的 主机 需要 固定 接收 发 往 某 组 播 组 或 组 播 源 组 的 数据 ， 可 以 配置 该 接口 静态 加 入 该 组 




















通过 使 能 IGMP Snooping， 二 层 设 备 就 可 以 通过 侦 听 IGMP 查 询 器 与 用 户主 机 间 的 IGMP 协议 报 文 ， 动 
态 建立 二 层 组 播 转发 表 项 ， 实 现 二 层 组 播 。 但 是 当 出 现下 面 的 情况 时 ， 即 使 二 层 设备 运行 了 IGMP 
Snooping， 也 会 由 于 侦 听 不 到 IGMP 协 议 报 文 ， 而 无 法 正常 动态 建立 二 层 组 播 转发 表 项 。 






























































(1) 上 游 三 层 组 播 设备 在 接口 上 未 运行 IGMP 协 议 ， 而 是 配置 了 静态 组 播 组 。 
(2) 组 播 源 和 用 户主 机 同属 于 一 个 二 层 网 络 ， 不 需要 三 层 组 播 设备 。 



























































此 时 ， 可 通过 在 二 层 组 播 设 备 上 配置 IGMP Snooping 查 询 器 ， 代 蔡 三 层 组 播 设 备 向 用 户主 机 发 送 IGMP 











Query 报 文 ， 从 而 解决 此 问题 。 
6.〈 可 选 ) 配置 Report 和 Leave 报 文 抑制 















































IGMP 协议 通过 周期 性 地 查询 和 响应 来 维护 组 成 员 关 系 。 在 此 过 程 中 ， 如 果 多 个 成 员 加 入 了 相同 的 组 播 
组 ， 会 不 断 上 送 相同 的 Report 报 文 给 IGMP 路 由 器 。 同 时 ， 当 IGMPv2 或 ITGMPv3 的 主机 在 离开 某 个 组 播 组 
时 ， 也 会 重复 发 送 Leave 报 文 。 为 了 节约 带宽 ， 可 以 在 二 层 设备 上 配置 Report 和 Leave 报 文 抑制 功能 。 
当 配置 了 对 Report 和 Leave 报 文 抑制 后 ， 针 对 每 一 个 组 播 组 ， 交 换 机 会 在 第 一 次 有 成 员 加 入 需要 建立 
组 播 表 项 ， 以 及 响应 IGMP 查询 报 文 时 ， 向 上 游 转发 一 份 Report 报 文 ; 在 最 后 一 个 组 成 员 离开 需要 删除 组 





















































播 表 项 时 ， 向 上 游 转发 一 份 Leave 报 文 。 
7. (可 选 ) 配置 Router-Alert 选 项 



























































出 于 兼容 性 考虑 ， 缺 省 情况 下 交换 机 不 对 Router-Alert 选 项 进行 检查 ， 当 收 到 IGMP 报 文 时 ， 不 管 其 IP 报 





头 中 是 否 携带 Router-Alert 选 项 ， 设 备 都 会 将 其 送 给 上 层 协议 进行 处 理 。 为 了 提高 系统 性 能 、 减 少 不 必 要 的 


























开支 ， 同 时 出 于 协议 安全 性 的 考虑 ， 可 以 配置 对 Router-Alert 选 项 进行 检查 ， 当 收 到 的 IGMP 报 文中 没有 携带 














Router-Alert 选 项 时 ， 就 丢弃 该 报 文 。 
缺 省 情况 下 ， 交 换 机 在 发 送 的 IGMP 报 文中 携带 Router-Alert 选 项 。 
8. 《可 选 ) 配置 IGMP Snooping 抑 制 动 态 加 入 










































































当 上 游 三 层 设备 为 其 他 三 商 设 备 ， 并 且 在 用 户主 机 侧 接口 上 配置 了 静态 组 播 组 ， 不 允许 下 游 用 户主 机 
动态 加 入 或 离开 组 播 组 时 ， 可 以 在 设备 上 配置 IGMP Snooping 抑 制 动 态 加 入 ， 禁 止 设 备 转发 包含 静态 组 地 























址 信息 的 Report 和 Leave 报 文 。 





13.4.3 配置 IGMP Snooping 基 本 功能 














上 节 介 绍 的 IGMP Snooping 基 本 功能 的 八 项 配置 任务 〈 只 有 前 两 项 为 必 选 的 ) 的 
22 所 示 。 














表 13-22 IGMP Snooping 基 本 功能 配置 步骤 
































人体 配置 步骤 如 表 13- 








命令 





使 能 
IGMP 
Snooping 
功能 








System-view 
例如 :<HUAWEI> system-view 


igmp-snooping enable 
例如 : [HUAWEH] 
igmp-snooping enable 


vlan vian-id 
例如 : [HUAWEI] vlan 10 


12-multicast forwarding-mode 


{ip| mac} 
例如 : [HUAWEI-vlan10] 
12-multicast 


forwarding-mode ip 





进入 系统 视图 


使 能 全 局 IGMP Snooping 功能 
缺 省 情况 下 ， 全 局 IGMP Snooping 功能 均 未 
使 能 ， 可 用 undo igmp-snooping enable 命令 


禁止 全 局 IGMP Snooping 功能 。 如 果 禁 止 了 
全 局 IGMP Snooping 功能 ,设备 上 所 有 IGMP 
Snooping 相关 配置 将 被 删除 。 再 次 执行 本 命 
令 使 能 全 局 IGMP Snooping 功能 后 ， 设 备 上 
所 有 IGMP Snooping 相关 配置 将 被 恢复 为 缺 
省 配置 

键入 要 使 能 IGMP Snooping 功能 的 VLAN， 进 
入 VLAN 视图 

配置 VLAN 中 组 播 流 是 按 由 地 址 〈 选 择 记 二 
选 一 选项 时 ) 还 是 MAC 地 址 〈 选 择 mae 二 选 
一 选项 时 ) 转发 

缺 省 情况 下 ，S2700/5700S-LIS700LI 系列 交 
换 机 按 MAC 模式 转发 组 播 数 据 ， 其 他 S 系 
列 按 IP 模式 转发 组 播 数 据 ， 可 用 undo 
12-multicast forwarding-mode 命令 恢复 缺 省 
情况 








使 能 
IGMP 
Snooping 
功能 


igmp-snooping enable 
例如 : [HUAWEI-vlan10] 
igmp-snooping enable 


使 能 VLAN 的 IGMP Snooping 功能 。 使 能 了 
VLAN 内 IGMP Snooping 之 后 ， 该 功能 只 会 
已 加 入 该 VLAN 的 接口 上 生效 ， 所 以 需要 先 把 
相应 接口 加 入 到 此 VLAN 中 

可 以 在 系统 视图 下 使 用 igmp-snooping 
enable [ vlan { vian-idi [ to vlan-id2 ]} 

及 <1-10> ] 命 令 ， 使 能 多 个 VLAN 的 IGMP 
Snooping 功能 

IGMP Snooping 功能 不 能 和 NN: 1 (N 大 于 1) 
VLAN Mapping 功能 、 VLAN Stacking 功能 配合 
使 用 

缺 省 情况 下 , VLAN 的 IGMP Snooping 功能 
未 使 能 ， 可 用 undo igmp-snooping enable 
命令 去 使 能 对 应 VLAN 的 IGMP Snooping 
功能 





配置 

IGMP 
Snooping 

版 本 


igmp-snooping version version 
例如 : [HUAWEI-vlan10] 
igmp-snooping version 2 





〈 可 选 ) 配 
由 器 端口 


undo igmp-snooping 


router-learning 








7 
例如 : [HUAWEI-vlan10]undo 
igmp-snooping router-learning 

人 

让 

8 qui 





例如 : [HUAWEI-vlan10] quit 





配置 对 应 VLAN 中 的 IGMP Snooping 可 以 处 理 
的 IGMP 版 本 ， 取 值 范围 为 1 一 3 的 整数 。 一 般 
二 层 设备 上 配置 和 三 层 组 播 设备 一 致 的 版 本 。 
如 果 三 层 组 播 设 备 没 有 启用 IGMP, 则 在 二 层 设 
备 上 配置 和 成 员 主 机 相同 或 高 于 成 员 主机 的 版 
本 。 当 VLAN 内 存在 支持 不 同 版 本 的 主机 时 ， 
需 执 行 本 命令 进行 配置 ， 使 设备 可 以 处 理 所 有 
主机 的 报 文 
缺 省 情况 下 , 设备 可 以 处 理 IGMPv1 和 IGMPv2 
的 报 文 ， 但 无 法 处 理 IGMPv3 的 报 文 
【说 明 】 当 前 面 第 4 步 配置 的 VLAN 内 的 转发 模 
式 为 基于 MAC 地 址 转发 时 , 无 法 配置 IGMPv3 
版 本 
(可 选 ) 禁止 动态 学习 路 由 器 端口 ， 也 可 在 对 应 
物理 接口 视图 下 通过 undo igmp-snooping 
router-learning vlan { { vlan-idl [to vlan-id2 ] } 
有 <1-10> | al } 命 令 禁 止 多 个 VLAN 的 动态 路 由 
器 端口 学 习 功 能 
缺 省 情况 下 ， 路 由 器 端口 动态 学 习 功 能 处 于 使 
能 状态 ,可 用 igmp-snooping router-learning 
命令 使 能 VLAN 的 路 由 器 端口 动态 学 习 功 能 








退出 VLAN 视图 ， 返 回 系统 视图 





( 续 表 ) 


(可 选 ) 配 
置 静态 路 
由 器 端口 


(可 选 ) 配 
置 静态 成 
员 端 口 


interface interface-type 
interface-number 

例如 : [HUAWEIlinterface 
gigabitethernet 0/0/1 


igmp-snooping 
static-router-port 

vlan { vlan-idl [to vlan-id2 ] } 
&<1-10> 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
igmp-snooping 
static-router-port vlan 10 


undo igmp-snooping learning 
vlan { {wan-idl [to vian-id2] 
}&<1-10> |all} 

例如 : [HUAWET- 
GigabitEthernet0/0/1] undo 
igmp-snooping learning vlan 10 


-multicast static-group 
[source-address source-ip- 
address | group-address group 
-ip-address vlan { vlan-idl [to 
van-id2] } &<1-10> 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
PP-multicast static-group 
-address 224.1.1.1 vlan 10 





键入 要 配置 为 静态 路 由 器 端口 的 物理 接口 , 进入 
接口 视图 


配置 以 上 物理 接 日 作 为 指定 VLAN 的 静态 路 由 
器 端口 ， 命 令 中 的 参数 说 明 如 下 。 

C1) vian-id1[ to vian-id2 ]: 指定 以 上 接口 要 作 
为 单个 VLAN 或 者 一 个 范围 (选择 te wan-id2 可 
选 参数 时 ) 的 VLAN 的 路 由 器 端口 ，VLAN ID 
号 的 取 值 范围 均 为 1 一 4 094 

(2) 有 <l-10>: 表示 wan-id1 [to vlan-id2 ] 参 数 
对 最 多 可 以 有 10 个 

缺 省 情况 下 ， 接 口 没有 配置 为 静态 路 由 器 端口 ， 
可 用 undo igmp-snooping static-router-port 命令 
取消 接口 作为 指定 VLAN 内 的 静态 路 由 器 端口 
禁止 以 上 物理 接口 动态 学 习 组 播 成 员 端口 , 命令 
中 的 参数 说 明 如 下 。 

(1) wan-id1 [to vian-id2]: 指定 以 上 接口 要 禁 
止 动态 学 习 单个 VLAN 或 者 一 个 范围 (选择 
to vlan-id2 可 选 参数 时 ) 的 VLAN 中 的 组 播 成 员 
端口 ，VLAN ID 号 的 取 值 范围 均 为 1 一 4 094 
(2) &<1-10>: 表示 wan-id1[ to vlan-id2 ] 参 数 
对 最 多 可 以 有 10 个 

(3) all : 二 选 一 选项 ， 指 定 要 禁止 以 上 接口 动态 
学 习 所 有 VLAN 中 的 组 播 成 员 端口 

禁止 动态 学 习 组 播 成 员 端口 功能 之 后 ， 如 果 要 完 
成 组 播 数据 的 转发 ， 接 口 只 能 静态 加 入 组 播 组 
缺 省 情况 下 ,成 员 端 口 动态 学 习 功 能 处 于 使 能 状 
态 ， 可 用 igmp-snooping learning 命令 恢复 使 能 
动态 成 员 端 口 学 习 功能 

配置 以 上 物理 接口 静态 加 入 对 应 组 播 组 , 成 为 对 
应 组 播 组 的 静态 成 员 端 口 。 命 令 中 的 参数 说 明 如 
下 。 
(1) source-ip-address: 可 选 参数 ， 指 定 要 加 入 
的 组 播 组 中 的 组 播 源 IP 地 址 ， 为 音 播 IP 地 址 
(2) group-ip-address : 指定 要 加 入 的 组 播 组 IP 
地 址 ， 取 值 范围 是 224.0.1.0 一 239.255.255.255 
(3) wlan-id1[ to wan-id2] }: 指定 要 静态 加 入 组 
播 组 的 VLAN 范围 

(4) &<1-10>: 表示 vlan-id1 [to vian-id2] } 参 数 
最 多 有 10 个 

也 可 以 通过 ID2-multicast static-group [source- 
address source-ip-address] group-address group- 
ip-address! to group-ip-address2 vlan vlan-id 命 
令 将 接口 批量 加 入 多 个 组 播 组 

缺 省 情况 下 ,接口 没有 静态 加 入 任何 组 播 组 , 可 
用 undo Il2-multicast static-group [ source- 
address source-ip-address ] group-address 
group-ip-address vlan { all | { wan-idl! [ to 
Vian-id2 ] } &<1-10> } 命 令 取消 接口 静态 加 入 对 
应 组 播 组 的 配置 








(可 选 ) 配 

置 IGMP 

Snooping 
查询 器 


例如 : [HUAWEI- 
GigabitEthernet0/0/1] quit 


退出 接口 视图 ， 返 回 系统 视图 





vlan vlan-id 
例如 : [HUAWEH vlan 10 


键入 要 配置 IGMP Snooping 查询 器 的 VLAN， 
进入 VLAN 视图 








igmp-snooping querier enable 
例如 : [HUAWEI-vlan10] 
igmp-snooping querier enable 


igmp-snooping query-interval 
query-interval 

例如 : [HUAWEI-vlan10] 
igmp-snooping query-interval 
300 


igmp-snooping robust-count 
robust-count 

例如 : [HUAWEI-vlan10] 
igmp-snooping robust-count 3 





在 以 上 VLAN 中 使 能 IGMP Snooping 查询 器 功 
能 。 使 能 IGMP Snooping 查询 器 功能 后 ， 交 换 
机 会 定时 以 广播 的 方式 向 VLAN 内 所 有 接口 
(包括 路 由 器 端口 ) 发 送 IGMP Query 报 文 ， 如 
果 组 播 网 络 中 已 经 存在 IGMP 查询 器 ， 可 能 会 
引起 IGMP 查询 器 重新 选举 。 此 时 ， 建 议 不 配 
置 此 功能 。 

【注意 】 如 果 与 VLAN 对 应 的 三 层 VLANIF 接 
口 使 能 了 IGMP 功能 , 则 不 能 在 该 VLAN 内 使 
能 IGMP Snooping 查询 器 功能 

另外 ， 在 同一 VLAN 内 ，IGMP Snooping 查询 
器 功能 和 IGMP Snooping Proxy 功能 不 能 同时 
配置 。 如 果 设备 上 配置 了 组 播 VLAN 复制 功 
能 ， 也 不 能 在 用 户 VLAN 上 使 能 IGMP 
Snooping 查询 器 功能 

缺 省 情况 下 ，VLAN 内 没有 使 能 IGMP 
Snooping 查询 器 功能 ， 可 用 undo 
igmp-snooping querier enable 命令 去 使 能 对 应 
VLAN 的 IGMP Snooping 查询 器 功能 

(可 选 ) 配置 VLAN 内 的 IGMP 普遍 组 查询 报 
文 发 送 时 间 间 隅 ， 取 值 范围 为 1 一 65 535 的 整 
数秒 

缺 省 情况 下 , VLAN 内 的 IGMP 普遍 查询 报 文 
发 送 时 间 间 隔 为 125s， 可 用 undo igmp- 
snooping query-interval 命令 恢复 VLAN 内 
的 IGMP 普遍 组 查询 报 文 发 送 时 间 间 也 为 缺 
省 值 

(可 选 ) 配置 VLAN 内 的 IGMP 健壮 系数 ， 即 
发 送 Query 报 文 的 次 数 ， 取 值 范 围 为 2~5 的 
整数 。 健 壮 系 数 用 来 规定 以 下 两 个 值 。 

(1) 当 查 询 器 启动 时 发 送 “ 健 壮 系数 " 次 的 “ 普 
遍 组 查询 报 文 "， 发 送 时 间 间 隔 为 “普遍 组 查 
询 报 文 发 送 问 隔 ” 的 /4 

(2) 当 设 备 收 到 Leave 报 文 后 ， 发 送 “ 健 壮 系 
数 ” 次 的 “IGMP 特定 组 查询 报 文 ” 发 送 间隔 
为 “特定 组 查询 报 文 发 送 间隔 ” 

缺 省 情况 下 ，VLAN 内 的 IGMP 健壮 系数 为 
2, 可 用 undo igmp-snooping robust-count 
命令 恢复 VLAN 内 的 IGMP 健壮 系数 为 缺 
省 值 








( 续 表 ) 


(可 选 ) 配 
置 IGMP 
Snooping 


查询 器 


(可 选 ) 配 
置 Report 
和 Leave 
报 文 抑制 





(可 选 ) 在 VLAN 内 配置 IGMP 普遍 组 查询 的 
最 大 响应 时 间 ， 取 值 范围 为 1 一 25 的 整数 秒 。 
但 IGMPy1 不 支持 
【说 明 〗 瑟 置 本 命令 后 ， 当 交接 机 收 到 主机 的 
igmp-snooping IGMP Report 报 文 后 ， 成 员 端 口 老化 时 间 设 置 
Ee 为 普遍 组 查询 报 文 的 发 送 间隔 x IGMP 健壮 条 
例如 ，[HUAWELviani0] 数 + 最 大 响应 时 间 ; 组 播 组 成 员 接站 到 一 个 
igmp-snooping IGMP 查询 报 文 后 ， 会 在 最 大 响应 时 间 内 发 送 
max-response-time 20 Report 报 文 
缺 省 情况 下 ，VLAN 内 的 IGMP 普遍 组 查询 最 
大 响应 时 间 为 10s， 可 用 undo igmp-snooping 
max-response-time 命令 恢复 VLAN 内 IGMP 
普遍 组 查询 的 最 大 响应 时 间 缺 省 值 
(可 选 ) 配置 VLAN 内 的 最 后 成 员 查 询 时 间 间 
隔 ， 即 IGMP 特定 组 查询 报 文 发 送 时 间 间 隔 ， 
取 值 范围 为 1 一 5 整数 秒 。 但 IGMPv1 不 支持 
【说 明 〗 配 置 本 命令 后 ， 当 交换 机 收 到 主机 退 
igmp-snooping 出 某 组 播 组 的 Leave 报 文 时 ， 重 置 成 员 端 口 老 
pee ae en ee 化 时 间 为 特定 组 查询 报 文 发 送 间 隔 x1GMP 健 
例如 Wan。 | 社 系 数 。 邑 会 连续 发 送 “IGMP 全 社 系数 ”次 
igmp-snooping 特定 组 成 员 查 询 报 文 ， 询问 该 组 播 组 是 否 还 存 
lastmember-queryinterval 3 在 成 员 。 本 参数 定义 了 发 送 该 报 文 的 时 间 间 隔 
缺 省 情况 下 ，VLAN 内 的 IGMP 特定 组 查询 报 
文 发 送 时 间 间 隔 为 18， 可 用 undo igmp- 
snooping lastmember-queryinterval 命令 恢复 
VLAN 内 的 最 后 成 员 查 询 时 间 间 隅 为 缺 省 值 


(可 选 ) 退出 VLAN 视图 ， 返 回 系统 视图 


(可 选 ) 配置 IGMP 普 所 组 查询 报 文 的 组 播 源 
IP 地 址 
igmp-snooping send-query 缺 省 情况 F, IGMP Snooping 查询 器 发 送 普 
source-address ip-address 组 查询 报 文 时 源 中 地 址 为 192.168.0.1, 当 该 地 
例如 : [HUAWEI] igmp-snooping | 址 已 被 网 络 中 的 其 他 设备 占用 时 ， 可 使 用 本 命 
send-query source-address 1.1.1.1 | 今 配 置 为 其 他 地 址 。 可 用 undo igmp-snooping 
send-query source-address 命令 恢复 IGMP 普 
遍 组 查询 报 文 的 源 IP 地 址 为 缺 省 值 


vlan vlan-id 键入 要 配置 报 文 换 制 功能 的 VLAN， 进 入 
例如 : [HUAWEI]vlan 10 VLAN 视图 


配 惫 在 VLAN 内 对 Report 和 Leave 报 文 的 抑制 

功能 

【说 明 】 配 置 此 功能 需 注 意 以 下 几 点 。 
igmp-snooping report-suppress | (1) 在 森 VLAN 下 配置 了 报 文 抑制 功能 后 ， 不 
oa 他 能 在 与 之 对 应 的 三 层 VLANIF 接口 上 使 能 

P| 
(2) 在 同一 VLAN 内 ，Report 和 Leave 报 文 抑 
制 功能 和 1GMP Snooping Proxy 不 能 同时 配置 


quit 
例如 : [HUAWEI-vlan10] quit 





续 


表 ) 


(3) 如果 设 备 上 配置 了 组 播 VLAN 复制 功能 ， 
则 不 能 在 用 户 VLAN 上 配置 Report 和 Leave 
报 文 抑 制 功能 
(4) 设备 未 使 能 报 文 抑制 功能 时 ， 对 重复 的 成 
(可 选 ) 配 i 员 关 系 报告 报 文 也 会 进行 抑制 ， 缺 省 的 抑制 时 
置 Report 例如 [HUAWEIvlan10] 间 为 10s, 此 时 间 可 通过 褒 mp-snooping suppress- 
和 Leave igmp-snooping report-suppress time suppress-time 命令 来 配置 。 如 果 将 
报 文 抑制 Suppress-time 设 为 0, 表示 对 所 有 的 成 员 关 系 报 
文 都 立即 转发 
缺 省 情况 下 ，undo igmp-snooping report- 
suppress 命令 取消 在 VLAN 内 对 Report 和 
Leave 报 文 的 抑制 
配置 设备 对 接收 的 IGMP 报 文 进行 Router-Alert 
检查 
【说 明 】Router-Alert 是 一 种 标识 协议 报 文 的 特殊 
机 制 ， 如 果 一 个 报 文 中 带 有 Router-Alert 选项 ， 则 
表示 该 报 文 需要 被 上 送 到 路 由 协议 层 去 处 理 。 出 
igmp-snooping 于 半 容 性 考虑 ， 缺 省 情况 下 设备 不 对 Router-Alert 
require-router-alert 选项 进行 检查 ，IGMP 报 文 中 无 论 是 否 的 带 有 
(可 选 ) 例如 : [HUAWEI-vlan10] Router-Alert 选项 ， 设 备 都 会 将 其 送 给 上 层 协议 进 
配置 igmp-snooping 行 处 理 。 为 了 提高 设备 性 能 、 减 少 不 必 要 的 开支 ， 





Router- De oi 同时 出 于 协议 安全 性 的 考虑 ， 可 以 配置 役 备 委 弃 
Alert 未 措 带 Router-Alert 选项 的 IGMP 报 文 ， 此 时 当 设 


选项 备 收 到 1GMP 报 文 时 ,会 检查 该 报 文 的 Router-Alert 


选项 ， 如 果 没有 措 带 该 选项 ， 就 丢弃 该 报 文 

可 用 undo igmp-snooping require-router-alert 

命令 恢复 缺 省 配置 

a 配置 设备 发 送 的 IGMP 报 文 中 携带 Router-Alert 

Ee 2 A 省 情 uF 设备 不 对 Router-Alert 选项 
g > 进行 检查 ， 忆 undo igmp-snooping send- 

全 各: [EUAWEEpim] router-alert 命令 恢 复 缺 省 村 

禁止 VLAN 内 收 到 的 包含 有 更 态 组 地 址 信息 的 

Report 和 Leave 报 文 向 配置 该 静态 组 的 上 游 三 

层 设备 转发 

【说 明 】 如 果 二 层 设备 的 上 游 三 层 组 播 设备 为 其 

他 厂商 设备 ， 并 且 在 此 三 层 设备 的 接口 上 配置 

(可 选 ) 配 igmp-snooping static-group 了 静态 组 播 组 ， 不 允许 用 户 以 动态 的 方式 加 入 

pe Ps er 0] 或 者 退出 组 播 组 ， 此 时 需要 在 二 层 设备 上 配置 

抑制 动态 igmp-snooping static-group 上 禁止 向 三 层 组 播 设备 转发 包含 有 静态 组 地 址 信 

加 入 suppress-dynamic-join 息 的 Report 和 Leave 报 文 

缺 省 情况 下 ，VLAN 内 收 到 的 包含 有 静态 组 地 

址 信息 的 Report 和 Leave 报 文 向 配置 该 静态 组 

的 上 游 三 层 设备 转发 ， 可 用 undo igmp- 

snooping static-group suppress-dynamic-join 


命令 恢复 缺 省 配置 
【示例 1】 配 置 VLAN2 内 的 GEO/O/1 接 口 静态 加 入 组 播 组 224.1.1.1。 
<HUAWEI>system-view 
[HUAWEI] igmp-snooping enable 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk 
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 
[HUAWEI-GigabitEthernet0/0/1] 12-multicast static-group group-address 224.1.1.1 vlan 2 
【示例 2】 配 置 VYLAN2 内 的 GE0/0/1 接 口 加 入 组 播 组 224.1.1.1~224.1.1.3。 
<HUAWEI>system-view 
[HUAWEI] igmp-snooping enable 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthernet0/0/1] port link-type trunk 
[HUAWEI-GigabitEthernet0/0/1] port trunk allow-pass vlan 2 














[HUAWEI-GigabitEthernet0/0/1] 12-multicast static-group group-address 224.1.1.1 to 224.1.1.3 vlan 2 
【示例 3】 取 消 GE0/0/1 接 口 静 态 加 入 所 有 VLAN 的 组 播 组 224.1.1.1。 

<HUAWEI> system-view 

[HUAWEI]| interfacegigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] undo 12-multicast static-group group-address 224.1.1.1 vlan all 





13.4.4 配置 IGMP Snooping Proxy 





IGMP Snooping Proxy 功 能 在 IGMP Snooping 的 基础 上 使 交换 机 代替 上 游 三 层 设 备 向 下 游 主 机 发 送 
IGMP Query 报 文 和 代替 下 游 主 机 向 上 游 设 备 发 送 IGMP Report 和 Leave 报 文 ， 这 样 能 够 有 效 地 节约 上 游 设备 
和 本 设备 之 间 的 带宽 。 

当 三 层 设 备 没 有 启用 IGMP 时 《如 只 配置 了 静态 组 播 组 ) ， 网 络 中 就 不 会 有 IGMP 碍 询 器 来 维护 组 成 员 
关系 。 通 过 在 二 层 设备 上 配置 IGMP Snooping Proxy 功 能 可 以 使 其 发 送 Query 报 文 ， 充 当 IGMP 碍 询 器 。 当 网 
络 中 运行 了 IGMP 时 ， 为 了 减少 上 游 三 层 设备 收 到 的 IGMP Report 报 文 和 Leave 报 文 数 量 ， 也 可 在 二 层 设备 上 
部 署 IGMP Snooping Proxy 功 能 ， 使 其 能 够 代理 下 游 主机 来 向 上 游 设 备 发 送 成 员 关 系 报告 报 文 。IGMP 
Snooping Proxy 功 能 的 具体 配置 步骤 如 表 13-23 所 示 。 

















































































































表 13-23 IGMP Snooping Proxy 功 能 配置 步 又 








System-view 





1 进入 系统 视 医 
例如 : <HUAWEI> system-view 进入 系统 视图 

2 vlan vlan-id 键入 要 配置 IGMP Snooping Proxy 功能 的 VLAN， 进 入 
例如 : [HUAWEI]vlan 10 VLAN 视图 





使 能 IGMP Snooping Proxy 功能 

缺 省 状况 下 ，VLAN 内 没有 使 能 IGMP Snooping Proxy 功 
能 , 可 用 undo igmp-snooping proxy 命令 去 使 能 VLAN 内 
的 IGMP Snooping Proxy 功能 


igmp-snooping proxy 
3 例如 : [HUAWEI-vlan10] 
igmp-snooping proxy 























4 | 利和 [BuAwgEwuaatol qult | 远 出 接口 视力， 返回 系统 视图 

Interface interface-type 
和 interface-number 键入 要 配置 IGMP Snooping Proxy 功能 的 物理 接口 ， 进 入 
例如 : [HUAWEI]interface 接口 视图 

gigabitethernet 0/0/1 





( 续 表 ) 


说 明 








配置 IGMP Snooping Proxy 上 行 接口 ， 禁 止 向 此 接口 发 送 
IGMP 查询 报 文 。 参数 wun-id 用 来 指定 以 上 接口 作为 IGMP 
. Snooping Proxy 上 行 接口 的 VLAN ID, 取 值 范围 为 1 一 4 094 
igmp-snooping 启用 IGMP Snooping Proxy 功能 后 ， 交 换 机 会 定时 以 广播 
二 OA | 的 方式 向 VLAN 内 所 有 接口 (包括 路 由 器 端口) 发 送 1GMP 
GigabitEthernetO /011] Query 报 文 ， 可 能 会 3 起 IGMP 查询 i 选举 。 当 上 游 
mpenooping 已 经 上 3 用 IGMP 时 ， 配 置 此 命 令 可 以 禁止 交换 机 向 路 由 器 
proxy-uplink-port vlan 10 端口 转发 Query 报 文 ， 避 免 查询 器 重新 选举 
缺 省 情况 下 ，VLAN 没有 配置 IGMP Snooping Proxy 上 行 
接口 , 可 用 undo igmp-snooping proxy-uplink-port 命令 删 
除 IGMP Snooping Proxy 上 行 接口 















13.4.5 配置 IGMP Snooping 策 略 








通过 配置 IGMP Snooping 策 略 可 以 控制 用 户 对 组 播 节 目的 点 播 ， 提 高 二 层 组 播 网 络 的 可 控 性 和 安全 
生 ， 相 当 于 本 章 前 面 13.1.3 节 介绍 的 IGMP 过 滤 策 略 。 本 功能 需要 结合 ACL 使 用 ， 所 以 先 创 建 ACL 并 在 其 规 


























上 











则 滤 策 略 。 





中 定义 组 播 组 过 
组 播 组 过 滤 策 


静态 组 播 组 无 效 。 












































[version version-number ] [default-permit ] 命令 配置 当 


如 下 。 

(1) acl-number: 指定 月 
本 ACL“〈 源 地 址 就 是 组 播 组 了 地 址 ， 
ACL〔 源 地 址 为 组 播 源 卫 地 址 ， 





























各 主要 用 于 对 VLAN 内 的 主机 加 入 的 组 播 组 进行 限 人 
人体 的 配置 方法 是 在 对 应 的 VLAN 视图 下 使 用 igmp-snooping group-policyacl-number 


日 来 定义 该 VLAN 内 


的 














前 VLAN 的 组 播 组 过 























播 组 IP 地 址 ) ， 取 值 范 











表示 仅 过 滤 组 





1 。 


户主 机 可 以 加 入 的 组 播 组 范 


本 功能 仅 对 动态 加 入 的 组 生效 ， 对 





才 滤 策略 。 命 令 中 的 参数 和 选项 说 明 








围 的 AcCL 的 编号 ， 可 以 是 基 
， 和 高 级 








范围 为 2 000 一 2 999 














地 址 是 组 播 组 IP 地 址 ， 表 示 同 时 


























有 
址 ) ， 取 值 范 围 为 3000 一 3999 。 


(2) version-number: 

















(3) default-permit: 

的 ACL 未 定义 规 
permit 可 选项 ， 则 rule 命 令 必 须 使 | 
的 ;， 如果 组 播 纪 
机 访问 指 
缺 省 状况 






























































可 选 参数 ， 指 定 IGMP 报 文 上 
过 滤 策 略 。 如 果 不 指定 该 参数 ， 则 设备 对 接收 到 的 所 有 IGMP 报 文 都 应 
可 选项 ， 指 定 组 播 组 过 滤 策 
则 ， 则 允许 VLAN 内 用 
jpermit 选 项 允许 VLAN 内 的 主机 访问 指定 
日 过 滤 策 略 指定 了 default-permit 可 选项 ， 
定 组 播 组 ， 完 成 过 滤 组 播 组 的 目 
下 ，VLAN 无 组 播 组 过 滤 策 略 ， 即 VLAN 内 的 用 户主 机 可 以 力 





过 滤 纪 


的 版 本 ， 表 示 只 对 








日 播 源 卫 地 址 和 组 播 组 IP 地 




















] 组 播 组 



































户主 机 可 以 加 入 所 有 组 播 组 。 如 


则 rule 命 令 必 须 使 
的 。 





snooping group-policy 命 令 取消 当前 VLAN 的 组 播 组 过 滤 策 略 。 





【示例 1】 禁 止 VLAN 2 内 的 用 
<HUAWEI>system-view 
[HUAWEI] acl number 2000 





户主 机 加 入 组 播 组 225.1.1.123。 


[HUAWE1I-acl-basic-2000] rule deny source225.1.1.123 0 


[HU 
[HU 
[HUAWEI] vlan 2 
[HU 
[HU 


AWEI-acl-basic-2000] quit 





AWEI] igmp-snooping enable 


AWEI-vlan2] igmp-snooping enable 
AWEI-vlan2] igmp-snooping group-policy 2000default-permit 


确 略 的 缺 省 行为 是 对 


间 定 版 本 的 IGMP 报 文 应 
该 组 播 组 过 滤 策 略 。 
所 有 组 播 组 许可 ， 即 表示 如 果 引 用 
果 组 播 组 过 滤 策 略 未 指定 default- 
组 播 组 ， 完 成 过 滤 组 播 组 的 目 
jdeny 选 项 明确 禁止 VLAN 内 的 主 









































中 














[入 任何 组 播 组 ， 可 用 undo igmp- 





【示例 2】 人 允许 VLAN 2 的 用 户主 机 加 入 组 播 源 组 (10.10.10.1，225.1.1.123) 。 


<HUAWEI>system-view 
[HUAWEI] acl number 3000 


[HUAWEI-acl-adv-3000] rule permit source 10.10.10.1 225.1.1.123 0 


[HU 
[HU 
[HUAWEI] vlan 2 
[HU 
[HU 


AWEI-acl-adv-3000] quit 








13.4.6 配置 接口 下 组 播 数据 过 滤 


























当 网 络 管理 


























员 和 希望 拒绝 某 特 定 的 组 播 数据 报 文 时 ， 
肯定 VLAN 的 组 播 数据 报 文 。 配 置 方法 很 简单 ， 


AWEI] igmp-snooping enable 


AWEI-vlan2] igmp-snooping enable 
AWEI-vlan2] igmp-snooping group-policy 3000 








可 以 在 交换 机 接 

















口 下 配置 组 播 数据 过 小， 拒绝 来 E 























只 需 在 对 应 的 接口 视图 


下 使 用 multicast-source-deny vlan { 


vlan-idl [ to vlan-id2 ] } &<1-10> 命 令 使 接 


人 人 
命令 ! 














据 进 行 过 滤 即 可 。 的 参数 说 





(1) vlan-id1: 指定 要 过 滤 组 播报 文 





口 对 指定 VLAN ( 
明 如 下 。 


接口 





必须 已 加 入 到 对 应 的 VLAN! 











) 内 的 组 播 数 

















的 起 始 VLAN 的 VLAN ID， 取 值 范围 为 1~4 094。 











(2) to vlan-id2: 可 选 参数 ， 指 定 要 过 滤 组 播报 文 的 结束 VLAN 的 VLAN ID， 取 值 范 围 也 为 1 一 4 094， 





i 














(3) &<1-10>: 表示 前 本 

















(1) 用 户 侧 接 口 
户 侧 接口 配置 本 命令 ， 丢 弃 该 接口 





日 必须 大 于 参数 vlan-id1 的 值 ， 与 vlan-id1 共 同 指定 一 个 范 转 
| 的 vlan-idl [to vlan-id2 ] 可 以 最 多 有 10 个 。 
在 接口 下 配置 本 命令 后 ， 接 口 会 丢弃 收 到 的 指定 VLAN 的 组 播报 文 。 在 如 下 场景 下 ， 可 能 会 需要 使 用 此 


























的 VLAN。 





























上 收 到 了 组 播报 文 ， 而 交换 机 一 般 不 需要 接收 来 自用 户 侧 接口 的 组 播 数据 报 文 。 在 用 























收 到 的 组 播 数 据 ， 可 以 防止 用 户主 机 恶意 伪造 组 播 源 发 送 组 播 流 。 
































(2) 不 同 VLAN 的 多 个 组 播 源 和 交换 机 之 间 二 层 相 连 ， 交 换 机 只 想 接 收 部 分 源 的 数据 。 





(3) 在 某 些 特殊 情况 下 ， 比 如 某 接口 下 用 户 组 播 业 务 到 
， 来 实现 拒绝 相应 VLAN 的 组 播 数据 报 文 
但 使 用 此 命令 只 过 滤 同 时 满足 以 下 条 
(1) 报 文 目的 MAC 地 址 为 人 P 组 播 MAC 地 二 




















分 -人 
命令 




















IPv6 组 播 MAC 地 址 ) 。 








(2) 报 文 封装 的 协议 类 型 为 UDP 类 型 。 
【示例 】 在 GEL0O/ 接 口上 配置 对 VLAN100 到 VLAN105 的 组 播 数 和 





<HUAWEI>system-view 











| 下 














[HUAWEI] interface gigabitethernet1/0/1 
[HUAWEI-GigabitEthernet1/0/1] multicast-source-deny vlan 100 to 105 


13.4.7 配置 丢弃 未 知 组 播 流 








所 谓 “ 未 知 组 播 流 ”就 是 组 播 转发 表 ] 
过 本 














的 处 理 方式 为 在 VLAN 内 广播 。 通 























13.4.8 配置 成 员 关 系 快速 刷新 















































F 的 组 播 数据 报 文 。 
止 《 即 0x01-00-5e 开 头 的 了 Pv4 组 播 MAC 地 址 或 0x3333 开 头 的 





五 丢弃 处 理 。 











期 需要 暂时 停止 ， 网 络 管理 员 可 以 通过 配置 本 



































FP 不 存在 对 应 表 项 的 组 播报 文 。 缺 省 情况 下 ， 交 换 机 对 未 知 组 播 流 














0 置 丢弃 未 知 组 播 流 ， 可 以 节省 瞬时 带宽 
需 在 对 应 的 VLAN 视图 下 使 用 multicast drop-unknown 命令 配置 丢弃 未 知 组 播 流 。 但 
令 后 会 丢弃 一 切 未 知 组 播报 文 ， 包 括 在 VLAN 内 透 传 上 


























占 ) 





配置 方法 很 简单 ， 只 


要 注意 的 是 ， 配 置 本 命 
































的 使 用 保留 组 播 地 址 的 协议 报 文 。 


配置 成 员 关 系 快 速 刷 新 ， 使 组 播 组 成 员 加 入 或 者 离开 组 播 组 时 设备 能 够 快速 响应 成 员 变 化 ， 可 以 提高 














户 体验 。 可 








组 播 业 务 运行 效率 和 用 
1. 配置 动态 成 员 端 

















司 














(1) 当 设 备 的 成 员 端 口 收 到 
文 发 送 时 间 间 隔 + 最 大 响应 时 








ei 
o 








下 游 主 机 的 Report 报 文 后 








《2) 当 设 备 的 成 员 端 口 收 到 
间 间 隔 x 健 壮 系数 。 











下 游 主机 的 Leave 报 文 后 ， 




















动态 成 员 端口 老化 时 间 的 具 











以 进行 以 下 几 方面 的 配置 。 
口 老化 时 1 
设备 在 收 到 不 同 IGMP 协 议 报 文 之 后 ， 会 为 成 员 端 口 


， 将 接 








将 接口 


本 配置 步 又 如 表 13-24 所 示 。 


局 动 不 同 时 长 的 老化 定时 器 。 
口 老化 时 间 设 置 为 健壮 系数 x 普遍 组 查询 报 
































老化 时 间 设 置 为 特定 组 查询 报 文 发 送 时 








表 13-24 动态 成 员 端 口 老化 时 间 的 配置 步 双 



















































































说 明 

System-view 赣 入 至 统 科 加 
例如 : <HUAWEI> system-view 进入 系统 视图 

2 | vlan vlan-id 键入 要 配置 动态 成 员 端口 老化 时 间 的 VLAN， 进 入 VLAN 
例如 : [HUAWEI]vlan 10 视图 
_ 配置 查询 器 发 送 普遍 组 查询 报 文 的 时 间 间 隔 ， 取 值 范 围 为 
igmp-snooping query-interval 1 一 65 535 的 整数 秒 
query-interval we 本 We 

直 缺 省 情况 下 ， 普 遍 组 查询 时 间 间 隔 为 60s， 可 用 undo 
Ps [OAWEL vlanlO) igmp-snooping query-interval 命令 恢复 对 应 VLAN 内 的 
i nooping query-interval 100 Se VA ol : 
DR IGMP 普遍 组 查询 报 文 发 送 时 间 间 隔 为 缺 省 值 
igmp-snooping robust-count 配置 查询 器 的 IGMP 健壮 系数 ， 取 值 范围 为 2 一 5 的 整数 

robust-count 缺 省 情况 下 ，IGMP 健壮 系数 为 2， 可 用 undo igmp- 
例如 : [HUAWEI-vlan10] snooping robust-count 命令 恢复 对 应 VLAN 内 的 IGMP 健 
igmp-snooping robust-count 3 壮 系数 为 缺 省 值 
igmp-snooping max-response-time | 配 置 查询 器 最 大 响应 时 间 ， 取 值 范围 为 1 一 25 的 整数 秒 

5 | max-response-time 缺 省 情况 下 ，IGMP 查询 报 文 的 最 大 响应 时 间 是 10s， 可 用 
例如 : [HUAWEI-vlan10] igmp- | undo igmp-snooping max-response-time 命令 恢复 对 应 
snooping max-response-time 20 ”| VLAN 内 IGMP 普遍 组 查询 的 最 大 响应 时 间 为 缺 省 值 
lgmpenoonine astmember 配置 VLAN 内 的 最 后 成 员 查 询 时 间 间 隔 , 即 IGMP 特定 组 
ee 查询 报 文 发 送 时 间 间 隔 ， 取 值 范围 为 1 一 5 的 整数 秒 

6 人 缺 省 情况 下 ， 特 定 组 查询 时 间 间 隔 为 18， 可 用 undo 
例如 : [HUAWEI-vlan10] igmp- | . > PS 
au0opiig igmp-snooping lastmember-queryinterval 节令 恢复 VLAN 
lastmember-queryinterval 3 内 的 最 后 成 员 查 询 时 间 间 隔 为 缺 省 值 

















2. 配置 动态 路 由 器 端口 老化 时 间 

IGMP Snooping 的 路 由 器 端口 用 来 向 上 游 三 层 设备 发 送 Report 报 文 和 接收 上 游 设 备 的 组 播 数 据 报 文 。 在 
配置 IGMP Snooping 功 能 后 ， 设 备 可 以 动态 学 习 路 由 器 端口 ， 实 时 监测 上 游 组 播 数据 的 下 发 。 当 网 络 发 9 
拥塞 或 者 网 络 稳定 性 不 佳 时 ， 动 态 路 由 器 端口 在 其 老化 时 间 超 时 前 没有 收 到 IGMP 普 遍 组 查询 报 文 或 者 PIM 
Hello 报 文 ， 设 备 将 把 该 接口 从 路 由 器 端口 列表 中 删除 ， 可 能 造成 组 播 数据 中 断 ， 此 时 可 以 将 路 由 器 端口 老 
化 时 间 值 适当 调 大 。 

配置 动态 路 由 器 端口 老化 时 间 的 配置 方法 很 简单 ， 只 需 在 对 应 的 VLAN 视 图 下 使 用 igmp-snooping router- 
aging-time router-aging-time 命 令 即 可 ， 取 值 范围 为 1 一 1000 的 整数 秒 。 缺 省 情况 下 ， 通 过 IGMP 普 遍 组 查询 
报 文学 习 到 的 路 由 器 端口 老化 时 间 为 180s; 通过 PIM Hello 报 文学 习 到 的 路 由 器 端口 老化 时 间 为 Hello 报 文中 
Holdtime 值 ， 可 用 undo igmp-snooping router-aging-time 命 令 恢复 对 应 VLAN 内 的 动态 路 由 器 端口 老化 时 间 为 
缺 省 值 。 

【示例 1】 配 置 VYLAN3 内 的 动态 路 由 器 端口 老化 时 间 为 300s。 
<HUAWEI> system-view 









































中 










































































于 





























































































































[HUAWEI] igmp-snooping enable 

[HUAWEI] vlan 3 

[HUAWEI-vlan3] igmp-snooping enable 

[HUAWEI-vlan3] igmp-snooping router-aging-time 300 

3. 配置 成 员 端 口 快速 离开 

员 端 口 快速 离开 是 指 当 交换 机 从 成 员 端口 接收 到 IGMP Leave 报 文 时 ， 不 再 启动 老化 定时 器 等 待 转发 

表 项 老化 ， 而 是 立即 将 该 接口 对 应 的 转发 表 项 删除 。 

注意 

只 有 当 VLAN 内 的 每 个 接口 下 都 只 有 一 个 组 播 组 成 员 主 机 时 ， 才 可 以 使 能 该 VLAN 的 成 员 端 口 快速 离 
开 功能 。 只 有 当 交 换 机 在 VLAN 内 可 以 处 理 IGMPv2 或 IGMPv3 报 文 时 ， 配 置 成 员 端口 快速 离开 功能 才 有 意 
义 。 






































上 







































































配置 成 员 端 口 快速 离开 功能 的 方法 也 很 简单 ， 只 需 在 对 应 的 VLAN 视图 下 使 用 igmp-snooping prompt- 
leave [group-policy acl-number [default-permit ] ] 命令 配置 允许 VYLAN 内 的 成 员 端 口 快 速 离开 组 播 组 即 可 。 命 


















































> 











(1) acl-number: 


日 播 IP 
日 IP 地 坟 


也 址 )》 ， 





日 。 此 时 需要 
项 ， 则 端口 忆 
permit 选项 实现 
缺 省 性 
































的 参数 和 选项 说 明 妇 


止 ) ， 取 值 范围 
(2) default-permit: 
在 ACEL 的 rule 
速 离开 组 播 组 策 


青 况 下 ， 不 允许 成 员 端 








的 成 员 端 口 怕 


0 下 。 








可 选 参数 ，| 
取 值 范围 


十 | 


























个 人 


为 2000~2 999， 也 可 以 是 
为 3000~3 999。 不 指 
可 选项 人， 则 端 
































Hj 


咯 上 











使 | 





止 端 口 快 























只 允许 成 员 端 











速 离开 组 播 组 。 
【示例 2】 配 置 允许 VLAN3 内 的 成 员 


<HUAWEI>system-view 
[HUAWEI] igmp-snooping enable 


[HU 
[HU 
[HU 
[HU 
[HU 
[HU 


AWEI] 


AWEI] 





【示例 3】 配 置 禁止 VLAN3 内 的 成 员 端 口 


acl number 2000 


vlan 3 


<HUAWEI>system-view 
[HUAWEI] igmp-snooping enable 


[HU 
[HU 


AWEI] 


acl number 2000 








和 组 。 





























LI 
而 站 





AWEI-vlan3] igmp-snooping enable 














[HUAWEI-acl-basic-2000] quit 


[HU 
[HU 


AWEI] 


vlan 3 


AWEI-vlan3] igmp-snooping enable 


来 指定 要 允许 端口 快速 离开 某 些 引 


快速 离开 组 























口 
速 离开 月 


快速 
fF 有 和 











播 组 225.1.1.123。 





AWEI-acl-basic-2000] rule permit source 225.1.1.123 0 
AWEI-acl-basic-2000] quit 


AWEI-vlan3] igmp-snooping prompt-leave group-policy 2000 
快速 离开 组 把 


备 组 225.1.1.123。 





AWEI-acl-basic-2000] rule deny source 225.1.1.123 0 


日 播 组 ， 可 以 是 基 
高 级 ACL 〈 源 地 址 是 组 播 源 PP 地 址 ， 
定 此 参数 时 表示 所 有 组 播 组 都 允许 端 
i 口 快速 离开 组 播 组 策略 的 
jdeny 选 项 明确 禁止 成 员 端 
的 缺 省 行为 是 禁 ] 
快速 离开 指定 组 所 
il 口 快速 离开 组 播 组 ， 可 | 








缺 省 行为 是 允许 端口 
离开 指定 组 
日 播 组 。 此 日 








时 


[HUAWEI-vlan3] igmp-snooping prompt-leave group-policy 2000 default-permit 











4. 


IGMP Query 报 文 ， 当 组 播 组 成 员 回 


数据 流 
在 





配置 网 络 拓扑 变化 时 发 送 Query 报 文 
当 二 层 网 络 拓扑 发 生变 化 时 ， 组 播报 文 的 转发 路 径 可 








回应 IGMP Report 报 文 时 





i 迅速 切换 到 新 的 转发 路 径 上 。 
网 络 拓扑 变化 时 发 送 Query 报 文 的 配置 步骤 如 表 13-25 所 示 。 


























全 已 


能 发 
， 设 备 根 据 Report 报 文责 

















本 ACL ( 源 地 























需要 通 


jundo igmp-snooping prompt-leave 命 令 


| 为 
的 地 址 为 组 播 








者 口 快速 离开 。 
快速 离开 所 有 组 播 
播 组 。 人 


区 
命令 ! 











的 





过 rule 


禁止 VLAN 内 


生变 化 。 配 置 交换 机 在 链 路 故障 时 主动 发 送 











十 


新 成 员 端 








ep 


表 13-25 在 网 络 拓扑 变化 时 发 送 Query 报 文 的 配置 步骤 


























口 信息 ， 将 组 播 


说 明 








System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





igmp-snooping send-query enable 
2 例如 : [HUAWEl]igmp-snooping 
send-query enable 


配置 设备 在 网 络 拓扑 变化 时 发 送 IGMP 六 


文 。 配置 本 命令 后 ， 当 设备 感 和 


化 时 ， 会 主动 发 送 IGMP 普遍 丝 






查询 报 文 (和 


车 遍 组 查询 报 
- 层 网 络 拓扑 发 生变 


民 文 源 地 


址 缺 省 为 192.168.0.1), 保证 设备 能 够 快速 更 新 端口 信 
息 ， 减 少 下 游 组 成 员 接 收 组 播 数据 中 断 时 间 


缺 省 情况 下 ， 当 网 络 拓扑 变化 时 ， 


undo igmp-snooping 


IGMP 普遍 组 查询 报 文 ， 可 用 


设备 不 会 


: 动 发 送 


send-query enable 命令 禁止 设备 响应 二 层 拓 扑 变化 主 


动 发 送 IGMP 普遍 组 查询 报 文 





igmp-snooping send-query 
source-address ip-address 

例如 : [HUAWEI] igmp-snooping 
send-query source-address 1.1.1.1 








(可 选 ) 配置 IGMP 普遍 组 查询 


缺 省 情况 下 ， 响 应 拓扑 变化 时 发 送 的 


源 地 址 为 192.168.0.1。 当 该 地 址 


已 被 网 络 中 


备 占 用 时 ， 可 使 用 本 命令 配置 为 其 他 地 址 , 已 
igmp-snooping send-query source-address 命令 恢复 
IGMP 普 遇 组 查询 报 文 的 源 IP 地 址 为 缺 省 值 





妥 文 的 源 IP 地 址 。 
普遍 组 查询 报 文 
的 其 他 设 





[用 undo 





13.4.9 配置 IGMP Snooping SSM Mapping 

















组 策略 ， 以 使 对 应 的 组 播 组 被 作为 SSM 组 播 组 对 待 。 
1. (可 选 ) 配置 SSM 组 策略 












































中 的 rule 命 令 必须 使 用 permit 选 项 指定 组 播 组 卫 地 址 才能 生效 ， 如 果 使 有 














IP 地 址 ， 配 置 不 生效 。 



































【示例 1】 配 置 VLAN3 内 组 地 址 225.1.1.123 作 为 SSM 范 围 内 的 组 。 


<HUAWEI> system-view 

[HUAWEI] acl number 2000 
[HUAWEI-acl-basic-2000] rule permit source 225. 
[HUAWE1I-acl-basic-2000] quit 

[HUAWEI] igmp-snooping enable 

[HUAWEI] vlan 3 

[HUAWEI-vlan3] igmp-snooping enable 
[HUAWEI-vlan3] igmp-snooping ssm-policy 2000 
2. 配置 IGMP Snooping SSM Mapping 








使 能 IGMP Snooping SSM Mapping 功 能 后 可 以 使 组 播 组 与 组 播 源 之 间 建 立 一 一 对 应 的 映射 关系 。 配 置 
VLAN 内 IGMP Snooping 的 版 本 为 3， 才能 支持 SSM Mapping 功 能 。 但 如 果 配 置 了 组 播 YLAN 复 制 功能 ， 只 





需 在 组 播 VLAN 内 配置 SSM Mapping 即 可 。 
说 明 











1.1.123 0 


和 二 层 网 络 中 ， 如 果 某 些 用 户主 机 内 能 运行 IGMPv1 或 IGMPv2， 但 是 这 些 用 户 希 望 享 受 SSM 服 务 ， 就 

















围 。 
igmp-snooping ssm-policy basic-acl-number 命 


围 内 的 组 对 待 的 组 播 组 。 但 此 时 ACL 


需要 在 设备 上 配置 IGMP Snooping SSM Mapping 功 能 。 如 果 需 要 改变 SSM 组 地 址 范围 ， 则 还 可 以 配置 SSM 
2 


缺 省 情况 下 ，SSM 组 范围 是 232.0.0.0 一 232.255.255.255。 如 果 用 户 加 入 的 组 播 组 地 址 不 在 SSM 范 围 内 ， 
需要 先 在 YLAN 上 配置 SSM 组 策略 ， 将 组 播 组 地 址 加 入 到 SSM 组 地 址 范 

SSM 组 策略 的 具体 配置 方法 是 在 对 应 的 VLAN 视 图 下 使 用 
令 ， 通 过 基本 ACL 〈 源 地 址 为 组 播 组 地 址 ) 来 限定 允许 作为 SSM 范 








月 deny 选 项 或 指 
































虽然 配置 SSM-Mapping 时 ， 需 要 在 VLAN 下 指定 IGMP 的 版 本 号 为 3， 


Version 2 的 IGMP 协 议 报 文 时 并 不 会 将 其 转换 为 Version 3 版 本 。 此 时 可 以 





Snooping Proxy 功 能 将 其 转换 为 Version 3 的 协议 报 文 


向 上 游 发 送 。 


配置 IGMP Snooping SSM Mapping 的 步骤 如 表 13-26 所 示 。 


























日 是 在 向 路 由 器 端 
通过 在 交换 机 上 配置 IGMP 




















定 的 地 址 不 是 组 播 组 




















转发 所 收 到 的 


表 13-26 IGMP Snooping SSM Mapping 的 配置 步骤 


system-view 
例如 : <HUAWEI> system-view 





进入 系统 视图 





vlan vlan-id 
例如 : [HUAWEI]vlan 10 


键入 要 配置 IGMP Snooping SSM Mapping 的 VLAN， 进 入 
VLAN 视图 





igmp-snooping version 3 
例如 : [HUAWELvlan10] 
igmp-snooping version 3 


配置 VLAN 内 IGMP Snooping 的 版 本 号 为 3。 和 缺 省 版 本 号 
为 2， 但 是 IGMPv2 版 本 不 支持 SSM Mapping 功能 





igmp-snooping ssm-mapping 
enable 
例如 : [HUAWEI-vlan10] igmp- 


使 能 VLAN 内 的 SSM Mapping 功能 。 缺 省 情况 下 ，VLAN 
内 SSM Mapping 功能 未 使 能 ， 可 用 undo igmp-snooping 


ssm-mapping enable 命令 去 使 能 SSM Mapping 功能 


snooping ssm-mapping enable 





配置 VLAN 内 组 播 组 与 组 播 源 的 映射 。 命 令 中 的 参数 说 明 如 下 。 
(1) group-address: 指定 要 映射 的 组 播 组 IP 地 址 ， 缺 省 为 
SSM 组 策略 范围 内 的 组 播 组 地 址 ， 也 可 以 是 前 面 SSM 组 
策略 中 指定 的 组 播 组 IP 地 址 
(2) group-mask: 二 选 数 ， 组 播 组 IP 地 址 掩 码 

(3) mask-length: 二 选 ， 组 播 组 IP 地 址 掩 码 长 度 
(4) source-address: 以 上 组 播 组 IP 地 址 要 建立 映射 的 组 播 
源 IP 地 址 ， 是 单 播 IP 地 址 
缺 省 情况 下 ， 没 有 配置 任何 组 播 组 与 组 播 组 源 的 映射， 可 
用 undo igmp-snooping ssm-mapping group-address { group- 
mask | mask-length } source-address 命令 取消 对 应 VLAN 中 
配置 的 指定 组 播 组 与 组 播 源 映 身 


【示例 2】 配 置 设备 上 VLAN10 中 组 播 地 址 238.1.1.1 一 238.1.1.255 与 组 播 组 源 地 址 10.1.1.1 之 间 的 映射 功 


igmp-snooping ssm-mapping 
group-address { group-mask | 
mask-length } source-address 
例如 : [HUAWEI-vlan10] 
igmp-snooping ssm-mapping 
238.1.1.0 24 10.1.1.1 














能 。 
<HUAWEI>system-view 
[HUAWEI] igmp-snooping enable 
[HUAWEI] vlan 10 
[HUAWEI-vlan10] igmp-snooping enable 
[HUAWEI-vlan10] igmp-snooping version 3 
[HUAWEI-vlan10] igmp-snooping ssm-mapping enable 
[HUAWEI-vlan10] igmp-snooping ssm-mapping 238.1.1.0 24 10.1.1.1 


13.4.10 IGMP Snooping 管 理 











在 日 常 维护 工作 中 ， 可 以 在 任意 视图 下 选择 执行 以 下 display 命令 ， 了 解 IGMP Snooping 的 运行 状况 
《主要 包括 查看 配置 信息 、 成 员 端 口 和 路 由 器 端口 、 报 文 统 计 计 数 、 转 发 表 信息 等 ) 。 

(1) 使 用 display igmp-snooping [vlan [ vlan-id ] ] 命令 查看 所 有 或 者 指定 VLAN 内 IGMP Snooping 配 置信 
息 ， 包 括 缺 省 配置 信息 。 

(2) 使 用 display igmp-snooping [vlan [ vlan-id ] ] configuration 命 令 查看 所 有 或 者 指定 VLAN 内 IGMP 
Snooping 非 缺 省 配置 信息 。 

(3) 使 用 display igmp-snooping port-info [vlanvlan-id [group-addressgroup-address ] ] [ verbose ] 命令 查看 
所 有 或 者 指定 VLAN 和 组 播 组 中 的 摘要 或 详细 〈 选 择 verbose 可 选项 时 ) 成 员 端 口 信息 。 

(4) 使 用 display igmp-snooping router-port vlan vlan-id 命 令 查看 指定 VLAN 中 的 路 由 器 端口 信息 。 

(5) 使 用 display igmp-snooping queriervlan [ vlan-id ] 命令 查看 所 有 或 者 指定 VLAN 中 的 IGMP 
Snooping 查 询 器 信息 。 

(6) 使 用 display igmp-snooping statisticsvlan [ vlan-id ] 命令 查看 所 有 或 者 指定 VLAN 中 的 IGMP 
Snooping 的 统计 信息 。 

(7) 使 用 display 12-multicast forwarding-modevlan [ vlan-id ] 命令 查看 所 有 或 者 指定 VLAN 中 的 二 层 组 播 
的 转发 模式 。 



















































































































































































(8) 使 用 display 12-multicast forwarding-tablevlan vlan-id [ [ source-address source- address ] group-address 
{ group-address |router-group } ] 命令 查看 指定 VLAN 内 二 层 组 播 转 发 表 信息 。 
在 接口 视图 下 执行 undo 12-multicast static-group [ source-address source-ip-address ] group-addressgroup-ip- 
addressvlan { all | { vlan-idl [ to vlan-id2 ] } &<1-10> } 命 令 取消 接口 静态 加 入 组 播 组 的 配置 。 也 可 以 通过 以 下 
命令 批量 取消 接口 上 加 入 的 组 播 组 地 址 。 


(1) undo 12-multicast static-group [ source-address source-ip-address ] group-address group-ip-addressl to 





















































group-ip-address2vlan vlan-id 

(2) undo 12-multicast static-group [ source-address Source-ip-address ] group-address all vlan { al | { vlan- 
idl [to vlan-id2] } &<1-10> } 
在 用 户 视图 下 使 用 reset igmp-snooping group {all | vlan { all | vlan-id [ [ source- address source-address ] 
group-address group-address ] } } 命 令 清除 所 有 或 者 指定 VLAN 中 的 动态 组 表 项 。 在 用 户 视图 下 使 用 reset 
igmp-snooping statistics {all | vlan { vlan- id | all } } 命 令 清除 所 有 或 者 指定 VLAN 中 的 IGMP Snooping 统 计 信 
息 。IGMP Snooping 的 统计 信息 主要 包括 VLAN 内 接收 到 的 Report、Leave、Query 等 协议 报 文 的 数量 ， 通 过 
该 命令 可 以 将 这 些 统计 计数 置 0， 便 于 重新 统计 。 




















































































































13.4.11 IGMP Snooping 基 本 功能 配置 示例 























本 示例 拓扑 结构 如 图 13-10 所 示 ， Router 通 过 二 层 设备 Switch 连接 用 户 网 络 ，Router 上 运行 IGMPv2 版 
组 播 源 Source 向 组 播 组 225.1.1.1 一 225.1.1.5 发 送 数据 ， 网 络 中 有 HostA、HostB、HostC 三 个 组 播 组 成 
， 它 们 只 对 225.1.1.1 一 225.1.1.3 的 数据 感 兴趣 。 























澡 让 





Source 







IP/MPLS core 


VLANI0 
GE3/0/3 


GE1/0/1 GE2/0/2 


Switch 
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13-10 IGMP Snooping 基 本 功能 配置 示例 拓扑 结构 

















1. 基本 配置 思路 分 析 
因为 示例 中 仅 对 VLAN 10 中 的 用 户 进行 组 播 组 过 滤 ， 所 以 本 示例 只 需要 在 使 能 IGMP Snooping 功 能 的 
基础 上 使 用 组 策略 就 可 以 实现 。 具 体 配置 任务 如 下 
(1) 在 Switch 上 创建 VLAN 并 将 接口 加 入 对 应 的 VLAN。 
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(2) 使 能 全 局 和 VLAN 的 IGMP&nbsp; Snooping 功 能 。 
(3) 配置 组 播 组 过 滤 策 略 ， 并 在 VLAN 内 应 用 此 策略 。 
2. 具体 配置 步 又 
下 面 是 本 示例 以 上 三 项 配置 任务 的 具体 配置 步骤 。 
(1) 创建 VLAN， 配 置 接口 加 入 VLAN。 
<HUAWEI>system-view 
[HUAWEI] sysname Switch 
[Switch] vlan 10 
[Switch-vlan10] quit 
































































































































[Switch] interfacegigabitethernet 1/0/1 
[Switch-GigabitEthernet1/0/1] port hybrid untagged vlan 10 
[Switch-GigabitEthernet1/0/1] port hybrid pvid vlan 10 
[Switch-GigabitEthernet1/0/1] quit 
[Switch] interfacegigabitethernet 2/0/2 
[Switch-GigabitEthernet2/0/2] port hybrid untagged vlan 10 
[Switch-GigabitEthernet2/0/2] port hybrid pvid vlan 10 
[Switch-GigabitEthernet2/0/2] quit 
[Switch] interfacegigabitethernet 3/0/3 
[Switch-GigabitEthernet3/0/3] port hybrid pvid vlan 10 
[Switch-GigabitEthernet3/0/3] port hybrid untagged vlan 10 
[Switch-GigabitEthernet3/0/3] quit 

(2) 使 能 全 局 和 VLAN 的 IGMP Snooping 功 能 。 
[Switch] igmp-snooping enable 
[Switch] vlan 10 


[Switch-vlan10] igmp-snooping enable 





[Switch-vlan10] quit 
(3) 通过 基本 ACL 配 置 组 播 组 过 滤 策 略 ， 仅 VLAN 10 中 的 用 户 接收 组 播 地 址 为 225.1.1.1 一 225.1.1.3 的 

组 播 数据 。 

[Switch] acl 2000 

[Switch-acl-basic-2000] rule permit source225.1.1.1 0 

[Switch-acl-basic-2000] rule permit source 225.1.1.2 0 

[Switch-acl-basic-2000] rule permit source225.1.1.3 0 

[Switch-acl-basic-2000] quit 

[Switch] vlan 10 

[Switch-vlan10] igmp-snooping group-policy 2000 














[Switch-vlan10] quit 
配置 好 后 ， 可 使 用 display igmp-snooping port-info vlan 10 命 令 查看 Switch 上 的 端口 信息 。 有 具体 如 下 。 从 
中 可 看 出 组 225.1.1.1 一 225.1.1.3 已 在 Switch 上 动态 生成 成 员 端口 GE1/O01 和 GE2/0/2。 


<Switch>display igmp-snooping port-info vlan 10 





































































































(Source, Group) Port Flag 
Flag: S:Static D:Dynamic M: Ssm-mapping 


VLAN 10, 3 Entry(s) 


(*, 225.1.1.1) GE1/0/1 -D- 
GE2/0/2 -D- 
2 port(s) 
(*, 225.1.1.2) GE1/0/1 -D- 
GE2/0/2 -D- 
2 port(s) 
(*, 225.1.1.3) GE1/0/1 -D- 
GE2/0/2 -D- 
2 port(s) 


然后 可 以 通过 display 12-multicast forwarding-table vlan 10 命 令 查 看 Switch 上 二 层 组 播 转发 表 。 具 体 如 
下 ， 从 中 可 看 出 转发 表 中 只 有 225.1.1.1~225.1.1.3 的 组 播 数 据 ， 满 足 示 例 中 的 要 求 。 

<Switch>display 12-multicast forwarding-table vlan10 

VLAN ID : 10, Forwarding Mode : IP 






























































(Source, Group) Interface Out-Vlan 
Router-port GigabitEthernet3/0/3 10 
(*, 225.1.1.1) GigabitEthernet1/0/1 10 


GigabitEthernet2/0/2 10 
GigabitEthernet3/0/3 10 
(*, 225.1.1.2) GigabitEthernet1/0/1 10 
GigabitEthernet2/0/2 10 
GigabitEthernet3/0/3 10 
(*, 225.1.1.3) GigabitEthernet1/0/1 10 
GigabitEthernet2/0/2 10 
GigabitEthernet3/0/3 10 


Total Group(s) : 3 





13.4.12 通过 静态 端口 实现 二 层 组 播 的 配置 示例 

































































本 示例 拓扑 结构 如 图 13-11 所 示 ， 路 由 器 Router 通 过 二 层 设 备 Switch 连 接 用 户 网 络 ， Router 的 用 户 侧 三 
层 VLANIF 接口 配置 了 225.1.1.1 一 225.1.1.5 的 IGMP 静态 组 ， 没 有 运行 IGMP 协 议 。 网 络 中 有 HostA、 
HostB、HostC、HostD 4 个 组 播 组 成 员 ， 其 中 HostA 和 HostB 希望 长 期 稳定 接收 225.1.1.1 一 225.1.1.3 的 数 
据 ，HostC 和 HostD 和 希望 长 期 稳定 接收 225.1.1.4 一 225.1.1.5 的 数据 。 








































































































Source 






IP/MPLS core 


VLANI0 


GE1/0/1 


GE3/0/3 
wy GE2/0/2 












































1. 基本 配置 思路 分 析 























本 示例 与 上 节 介绍 的 示例 要 求 差不多 ， 但 实现 的 方式 不 同 。 上 和 节 是 通过 组 策略 来 实现 上 
指定 组 播 组 的 数据 ， 而 本 示例 则 要 通过 在 组 播 组 中 添加 静态 端口 〈 包 括 静 态 路 由 器 端口 和 更 
的 来 实现 仅 接收 来 自 指定 组 播 组 的 数据 。 具 体 配置 任务 如 下 。 
























































(1) 在 Switch 上 创建 VLAN 并 将 接口 加 入 VLAN 
(2) 使 能 全 局 和 VLAN 的 IGMP Snooping 功 能 。 
(3) 配置 静态 路 由 器 端口 和 配置 静态 成 员 端口 。 
2. 有 具体 配置 步骤 









































































































































(1) 创建 VLAN 10， 并 配置 接口 加 入 VLAN。 参 见 上 节 














o 





图 13-11 静态 端口 配置 示例 拓扑 结构 














j 户 仅 接 收 来 自 























配置 。 





(2) 使 能 全 局 和 VLAN IGMP Snooping 功 能 。 参 见 上 节 配 置 。 











(3) 把 GE3/0/3 接 口 配置 为 VLAN 10 的 静态 路 
[Switch] interface gigabitethernet 3/0/3 





























器 端口 


o 


[Switch-GigabitEthernet3/0/3] igmp-snooping static-router-port vlan 10 


[Switch-GigabitEthernet3/0/3] quit 


态 成 员 端口 ) 











(4) 把 GE1/0/1 和 GE1/0/2 接 口 分 别 加 入 到 对 应 的 组 播 组 中 ， 配 置 为 它们 的 静态 成 员 端 口 。 


[Switch] interfacegigabitethernet 1/0/1 


[Switch-GigabitEthernet1/0/1] 12-multicast static-group group-address 225.1.1.1 to 225.1.1.3 vlan 10 


[Switch-GigabitEthernet1/0/1] quit 
[Switch] interface gigabitethernet 2/0/2 


[Switch-GigabitEthernet2/0/2] 12-multicast static-group group-address 225.1.1.4 to 225.1.1.5 vlan 10 


[Switch-GigabitEthernet2/0/2] quit 





























配置 好 后 ， 可 以 通过 display igmp-snooping router-port vlan 10 命令 查看 Switch 上 的 路 由 器 端口 信息 。 上 





























体 如 下 ， 从 中 可 以 看 出 ，GE3/0/3 已 成 为 静态 路 由 器 端口 。 














<Switch>display igmp-snooping router-port vlan 10 











~ 


Port Name UpTime Expires Flags 


VLAN 10, 1 router-port(s) 
GE3/0/3 00:20:09 -- STATIC 























同样 可 以 通过 display igmp-snooping port-info vlan 10 命 令 查看 Switch 上 的 成 员 端 口 信息 。 




















中 可 看 出 组 播 组 225.1.1.1 一 225.1.1.3 在 Switch 上 有 静态 成 员 端 口 GELO/1， 组 播 组 225.1.1.4 一 225.1.1.5 在 














Switch 上 有 静态 成 员 端口 GE2/0/2。 


<Switch>display igmp-snooping port-info vlan 10 








(Source, Group) Port Flag 
Flag: S:Static D:Dynamic M: Ssm-mapping 


VLAN 10, 5 Entry(s) 


(*, 225.1.1.1) GE1/0/1 S-- 
1 port(s) 

(*, 225.1.1.2) GE1/0/1 S-- 
1 port(s) 

(*, 225.1.1.3) GE1/0/1 S-- 
1 port(s) 

(*, 225.1.1.4) GE2/0/2 S-- 
1 port(s) 

(*, 225.1.1.5) GE2/0/2 S-- 
1 port(s) 








具体 如 下 从 























还 可 通过 display 12-multicast forwarding-table vlan 10 命 令 查看 Switch 上 二 层 组 播 转发 表 。 
中 可 以 看 出 ， 组 225.1.1.1 一 225.1.1.5 在 Switch 上 已 生成 转发 表 。 

<Switch>display 12-multicast forwarding-table vlan10 

VLAN ID : 10, Forwarding Mode : IP 
































(Source, Group) Interface Out-Vlan 
Router-port GigabitEthernet3/0/3 10 
(*, 225.1.1.1) GigabitEthernet1/0/1 10 
GigabitEthernet3/0/3 10 
(*, 225.1.1.2) GigabitEthernet1/0/1 10 
GigabitEthernet3/0/3 10 
(*, 225.1.1.3) GigabitEthernet1/0/1 10 
GigabitEthernet3/0/3 10 
(*, 225.1.1.4) GigabitEthernet2/0/2 10 


GigabitEthernet3/0/3 10 








体 如 下 ， 从 





(*, 225.1.1.5) GigabitEthernet2/0/2 10 
GigabitEthernet3/0/3 10 


Total Group(s) : 5 


13.4.13 IGMP Snooping 查 询 器 的 配置 示例 











本 示例 拓扑 结构 如 图 13-12 所 示 ， 在 一 个 没有 三 层 设备 纯 二 层 网 络 环境 中 ， 组 播 源 Source1 和 Source2 分 
别 向 组 播 组 224.1.1.1 和 225.1.1.1 发 送 组 播 数 据 ，HostA 和 HostC 希 望 接收 组 播 组 224.1.1.1 的 数据 ，HostB 和 
HostD 希 望 接 收 组 播 组 225.1.1.1 的 数据 。 所 有 组 播 组 成 员 运 行 IGMPvV2。 
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VLANI0 


HostA SwitchA SwitchB |GE1/0/1 HostB 


GE1/0/3 GE4/0/4 


GE1/0/] GE2/0/2 GE3/0/3 





GE1/0/1 


了 
-一 一 一 一 
GE3/0/3 四 


HostD SwitchD SwitchC HostC 






GE1/0/1 GE2/0/2 














图 13-12 IGMP Snooping 查 询 器 配置 示例 拓扑 结构 














本 示例 可 通过 在 网 络 中 各 Switch 上 使 能 IGMP Snooping 功 能 ， 并 配置 某 一 台 Switch 为 IGMP Snooping 查 
询 器 来 实现 。 同 时 为 防止 设备 在 没有 二 层 组 播 转 发 表 项 时 将 组 播 数 据 在 VLAN 内 广播 ， 在 所 有 Switch 上 都 使 
能 丢弃 未 知 组 播报 文 功能 。 具 体 配置 步骤 如 下 。 

(1) 在 所 有 Switch 上 创建 VLAN 并 将 接口 加 入 VLAN。 因 为 SwitchA、SwitchB、SwitchC、SwitchD 的 配 
置 方法 一 样 ， 现 仅 以 SwitchA 为 例 进行 介绍 。 
<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] vlan 10 

[SwitchA-vlan10] guit 

[SwitchA] interface gigabitethernet 1/0/1 

[SwitchA-GigabitEthernet1/0/1] port hybrid pvid vlan 10 

[SwitchA-GigabitEthernet1/0/1] port hybrid untagged vlan 10 

[SwitchA-GigabitEthernet1/0/1] quit 

[SwitchA] interface gigabitethernet 2/0/2 

[SwitchA-GigabitEthernet2/0/2] port hybrid pvid vlan 10 

[SwitchA-GigabitEthernet2/0/2] port hybrid untagged vlan 10 

[SwitchA-GigabitEthernet2/0/2] quit 
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[SwitchA] interface gigabitethernet 3/0/3 
[SwitchA-GigabitEthernet3/0/3] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet3/0/3] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet3/0/3] quit 
(2) 在 所 有 Switch 上 使 能 全 局 和 VLAN 的 IGMP Snooping 功 能 。 同 样 因为 SwitchA、 
SwitchB、SwitchC、SwitchD 的 配置 方法 一 样 ， 也 仅 以 SwitchA 为 例 进行 介绍 。 
[SwitchA] igmp-snooping enable 
[SwitchA] vlan 10 
[SwitchA-vlan10] igmp-snooping enable 
[SwitchA-vlan10] guit 
(3) 配置 SwitchA 为 查询 器 。 
[SwitchA] vlan 10 
[SwitchA-vlan10] igmp-snooping querier enable 
[SwitchA-vlan10] guit 
(4) 在 所 有 Switch 上 使 能 丢弃 末 知 组 播报 文 功能 。 同 样 仅 以 SwitchA 为 例 进行 介绍 。 
[SwitchA] vlan 10 
[SwitchA-vlan10] multicast drop-unknown 
[SwitchA-vlan10] guit 
当 IGMP Snooping 查 询 器 开始 工作 之 后 ， 除 查询 器 以 外 的 所 有 设备 都 应 能 收 到 IGMP 普 裔 组 查询 报 文 。 
可 以 通过 display igmp-snooping statistics vlan 10 命 令 查 看 IGMP 报 文 的 统计 信息 ， 例 如 查看 SwitchB 上 收 到 的 
IGMP 报 文 统计 信息 。 
<SwitchB>display igmp-snooping statistics vlan 10 











































































































IGMP Snooping Packets Counter 
Statistics for VLAN 10 


Recv V1 Report 0 
Recv V2 Report 32 
Recv V3 Report 0 
Recv V1 Query 0 
Recv V2 Query 30 
Recv V3 Query 0 
Recv Leave 0 
Recv Pim Hello 0 


Send Query(S=0) 0 

Send Query(S!=0) 0 

Suppress Report 0 

Suppress Leave 0 

Proxy Send General Query 0 

Proxy Send Group-Specific Query 0 
Proxy Send Group-Source-Specific Query 0 




















13.5 组 播 VLAN 配 置 与 管理 























组 播 YLAN (Multicast VLAN) 一 般 部 署 于 设备 的 网 络 侧 来 实现 组 播 流 汇 聚 ， 然 后 将 组 播报 文 在 用 户 
VLAN 内 复制 分 发 。 华 为 $ 系 列 交 换 机 支持 基于 用 户 VYLAN 和 基于 接口 两 种 方式 配置 组 播 YLAN 复 制 功 能 ， 
可 根据 不 同 的 应 用 场景 来 选择 对 应 方式 配置 组 播 VYLAN 复 制 功能 。 有 关 组 播 VYLAN 工 作 原 理 参 见 本 书 第 12 章 
12.5.5 节 。 
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13.5.1 配置 基于 用 户 VLAN 的 组 播 VLAN 一 对 多 

















通过 配置 组 播 YLAN 一 对 多 ， 可 以 实现 组 播 数据 在 不 同 用 户 VLAN 间 复制 分 发 ， 减 少 上 游 带宽 浪费 。 目 
前 S 系 列 交 换 机 在 IPv4 网 络 和 IPv6 网 络 都 支持 配置 组 播 YLAN 一 对 多 。 两 种 网 络 在 配置 时 并 无 差异 ， 都 需要 
结合 二 层 组 播 侦 听 功能 〈IPv4 网 络 为 IGMP Snooping，IPv6 网 络 为 MLD Snooping) 来 实现 。 在 此 仅 以 IPv4 网 
络 的 配置 流程 进行 介绍 。 有 具体 配置 顺序 如 下 。 
(1) 配置 用 户 VLAN IGMP Snooping 功 能 
配置 基于 用 户 VLAN 的 组 播 YLAN 一 对 多 功能 时 需要 在 用 户 VLAN 下 使 能 二 层 组 播 侦 听 一 -IGMP 
Snooping 功 能 。 
(2) 配置 组 播 VYLAN 
组 播 VLAN 是 实现 组 播 VLAN 复制 功能 的 基础 ， 用 来 汇聚 网 络 侧 的 组 播 流 ， 然 后 将 组 播 流 在 其 对 应 的 
用 户 VLAN 内 复制 分 发 。 同 时 ， 在 配置 基于 用 户 VLAN 的 组 播 YLAN 功 能 时 ， 组 播 YLAN 也 需要 使 能 二 层 组 
播 侦 听 功 能 。 
(3) 配置 接口 加 入 VLAN 
组 播 YLAN 和 用 户 VLAN 配 置 完成 后 ， 网 络 侧 接口 需要 加 入 组 播 YLAN， 用 户 侧 接口 需要 加 入 用 户 
VLAN。 
注意 
S2700EI5700S-LI5700LI 系 列 交换 机 在 配置 组 播 YLAN 时 ， 用 户 侧 接口 必须 以 相同 方式 同时 加 入 组 播 
VLAN 和 用 户 VLAN。 如 果 单 个 用 户 侧 接口 加 入 了 两 个 或 者 两 个 以 上 的 用 户 VYLAN， 只 有 第 一 个 上 送 Report 
报 文 的 用 户 VLAN 才 会 实现 组 播 YLAN 复 制 功能 。 
以 上 基于 用 户 VLAN 的 组 播 VLAN 一 对 多 的 三 项 配置 任务 的 具体 配置 步骤 如 表 13-27 所 示 。 

























































































































































































































































































































































































表 13-27 基于 用 户 VLAN 的 组 播 YLAN 一 对 多 的 配置 步骤 


























公共 配置 


配置 用 户 
VLAN 
IGMP 

Snooping 
功能 


System-yiew 

例如 : <HUAWEI> 
System-view 
igmp-snooping enable 
例如 : [HUAWEH 
igmp-snooping enable 


进入 系统 视图 


使 能 全 局 IGMP Snooping 功能 





vlan vian-id 


| 例如: [HUAWEI] vlan 10 


创建 要 使 能 IGMP Snooping 功能 的 用 户 VLAN， 并 
进入 VLAN 视图 





igmp-snooping enable 
例如 : [HUAWEI-vlan10] 
igmp-snooping enable 


使 能 用 户 VLAN 的 IGMP Snooping 功能 





为 所 有 需要 接收 组 播 数据 的 用 户 VLAN 进行 以 上 配置 





配置 组 插 
VLAN 


1 RS 
quit 


例如 : [HUAWEIvilan10] quit 


退出 以 上 用 户 VLAN 视图 ， 返 回 系统 视图 





vlan vlan-id 
例如 : [HUAWEI] vlan 5 


创建 要 使 能 IGMP Snooping 功能 的 组 播 VLAN， 并 
进入 组 播 VLAN 视图 





igmp-snooping enable 
例如 : [HUAWEI-vlan5] 
igmp-snooping enable 


使 能 组 播 VLAN 的 IGMP Snooping 功能 








multicast-vlan enable 
例如 : [HUAWEI-vlan5] 
multicast-vlan enable 


multicast-vlan user-vlan 

{ wian-idl [to vilan-id2 ] } 
&<1-10> 

例如 : [HUAWEI-vlan5] 

multicast-vlan user-vlan 

10 to 15 


quit 
例如 : [HUAWEI-vlan5] quit 





使 能 组 播 VLAN 功能 , 将 当前 VLAN 配置 为 组 播 VLAN 
【注意 】 配 置 为 组 播 VLAN 的 VLAN， 不 能 再 被 配置 为 
用 户 VLAN。 被 配置 为 用 户 VLAN 的 VLAN 也 不 能 再 
被 配置 为 组 播 VLAN; 如 果 在 VLAN 内 使 用 -multicast 
forwarding-mode 命令 将 当前 二 层 组 播 数 据 转发 模式 设 
置 成 了 按 MAC 转发 ， 则 不 支持 将 该 VLAN 配置 为 组 播 
VLAN。 将 组 播 VLAN 恢复 成 普通 VLAN 时 ， 应 当先 删 
除 组 播 VLAN 下 的 所 有 用 户 VLAN 

缺 省 情况 下 ， 当 前 VLAN 为 普通 VLAN， 可 用 undo 
multicast-vlan enable 命令 将 当前 VLAN 恢复 成 普通 VLAN 
配置 组 播 VLAN 和 用 户 VLAN 的 对 应 关系 ， 将 用 户 
VLAN 绑 定 到 组 播 VLAN 。 参 数 wan-idl 
[to vian-id2 ] 用 米 指 定 要 绑 定 组 播 VLAN 的 用 户 
VLAN 范围 ， 取 值 范围 均 为 1 一 4 094 的 整数 
【说 明 】 配 置 组 播 VLAN 和 用 户 VLAN 的 对 应 关系 
时 ， 一 个 组 播 VLAN 最 多 可 以 绑 定 4093 个 用 户 
VLAN， 而 且 所 对 应 的 用 户 VLAN 必须 已 经 创建 ， 
否则 该 命令 即使 配置 成 功 也 不 生效 ， 且 一 个 用 户 
VLAN 只 能 绑 定 到 一 个 组 播 VLAN 

缺 省 情况 下 ， 组 播 VLAN 没有 对 应 的 用 户 VLAN， 
可 用 undo multicast-vlan user-vlan 命令 取消 组 播 
VLAN 和 指定 用 户 VLAN 的 对 应 关系 


退出 组 播 VLAN 视图 ， 返 回 系统 视图 











将 网 络 侧 接口 以 Trunk 方式 或 Hybrid 方式 加 入 组 播 VLAN; 将 用 户 侧 接口 以 
Trunk 方式 或 Hybrid 方式 加 入 用 户 VLAN， 具 体 参见 本 书 第 6 章 





【示例 】 配 置 组 播 YLAN2 和 用 户 VLAN3~~VLAN10 的 对 应 关系 。 


<HUAWEI> system-view 

[HUAWEI] vlan 2 

[HUAWEI-vlan2] multicast-vlan enable 
[HUAWEI-vlan2] multicast-vlan user-vlan 3 to 10 


13.5.2 配置 基于 接口 的 组 播 YLAN 功 能 











通过 配置 基于 接口 的 组 播 VLAN 功能 ， 可 以 实现 同一 用 户 VLAN 中 不 同 用 户 之 间 的 组 播 业 务 隔 离 ， 增 
强 了 对 组 播 业务 流量 的 控制 。 目 前 交换 机 仅 支 持 在 IPv4 网 络 配 置 基 于 接口 的 组 播 YLAN 功 能 。 在 配置 时 需 
结合 IGMP Snooping 功 能 来 实现 ， 但 是 与 配置 基于 用 户 VLAN 的 组 播 YLAN 功 能 不 同 的 是 ， 用 户 VLAN 不 需 
要 使 能 IGMP Snooping 功 能 ， 只 需 使 用 vlan vlan-id 命 令 创建 用 户 VLAN。 具 体 按 如 下 顺序 进行 配置 。 
(1) 配置 组 播 VYLAN 
配置 基于 接口 的 组 播 VLAN 功能 时 ， 只 需要 在 组 播 VLAN 下 使 能 二 层 组 播 侦 听 功能 ， 不 需要 
VLAN 功 能 。 
(2) 配置 用 户 VLAN 绑 定 组 播 VYLAN 
用 户 VLAN 绑 定 组 播 VLAN 主要 在 用 户 侧 接 口 下 进行 配置 ， 并 且 在 同一 接口 下 用 户 VLAN 不 能 绑 定 到 
多 个 组 播 VLAN。 







































































使 能 组 播 





















































(3) 配置 接口 加 入 VLAN 











组 播 VYLAN 和 用 户 VLAN 配 置 完 成 后 ， 网 络 侧 接口 需要 加 入 组 播 YLAN， 用 户 侧 接口 需要 加 入 用 户 











VLAN。 

















以 上 基于 接口 的 组 播 YLAN 的 三 项 配置 任务 的 有 具体 配置 步 又 如 表 13-28 所 示 。 




















表 13-28 基于 接口 的 组 播 YLAN 的 配置 步骤 











配置 任务 | 步骤 命令 说 明 
system-view 
公共 配置 1 例如 : <HUAWEI> 进入 系统 视图 


System-view 





2 igmp-snooping enable 


使 能 全 局 IGMP Snooping 功能 





3 vlan vilan-id 
配置 组 播 例如 : [HUAWEI] vlan 5 


创建 要 使 能 IGMP Snooping 功能 的 组 播 VLAN， 
并 进入 组 播 VLAN 视图 





VLAN igmp-snooping enable 
4 | 例如 : [HUAWEI-vlan5] 
igmp-snooping enable 


使 能 组 播 VLAN 的 IGMP Snooping 功能 





5 quit 
例如 : [HUAWEI-vlan5] quit 





退出 组 播 VLAN 用 户 视图 ， 返 回 系统 视图 





interface interface-type 
interface-number 

例如 [HUAWEI] interface 
gigabitethernet 1/0/1 





键入 要 绑 定 组 播 VLAN 的 用 户 侧 物理 接口 , 进入 
接口 视图 





配置 用 户 

VLAN 绑 
定 组 播 12-mnulticast-bind vlan 
VLAN Vianidi[ to vlanid2 ] 


mvlan mv/ianid 

7 | 例如 : [HUAWEI- 
GigabitEthernet1/0/1] 
12-multicast-bind vlan 
100 mvlan 5 











在 以 上 物理 接口 下 配置 用 户 VLAN 绑 定 组 播 
VLAN。 命 令 中 的 参数 说 明 如 下 。 

(1) vlan-id1 [to vlan-id2]: 用 来 指定 要 绑 定 组 播 
VLAN 的 用 户 VLAN 范围 , 取 值 范围 均 为 1 一 4 094 
的 整数 

(2) myvianid: 指定 要 绑 定 的 组 播 VLAN 

缺 省 情况 下 ,接口 下 没有 配置 用 户 VLAN 绑 定 组 
播 VLAN， 可 用 undo 12-multicast-bind vlan 命 
令 恢 复 缺 省 配置 








配置 任务 | 3 命令 


说 明 





WE quit 
配置 接口 例 妇 


: [HUAWEI-vlans] quit 


退出 组 播 VLAN 视图 ， 返 回 系统 视图 





加 入 


VLAN 将 网 络 侧 接口 以 Trunk 方式 或 Hybrid 方式 加 入 组 播 VLAN; 将 用 户 侧 接口 以 























Trunk 方式 或 Hybrid 方式 加 入 用 户 VLAN， 具 体 参 见 本 书 第 6 章 





【示例 】 在 接口 GE1/0/1 下 配置 用 户 VLAN100 绑 定 组 播 YLAN20。 





<HUAWEI> system-view 

[HUAWEI] igmp-snooping enable 
[HUAWEI] vlan 100 

[HUAWEI-vlan100] igmp-snooping enable 
[HUAWEI-vlan100] guit 

[HUAWEI] vlan 20 

[HUAWEI-vlan20] igmp-snooping enable 
[HUAWEI-vlan20] guit 

[HUAWEI]| interfacegigabitethernet 1/0/1 


[HUAWEI-GigabitEthernet1/0/1] 12-multicast-bind vlan 100mvlan 20 








13.5.3 基于 用 户 VLAN 的 组 播 VLAN 配 置 示例 

















( 续 表 ) 


本 示例 拓扑 结构 如 图 13-13 所 示 ，RouterA 和 SwitchA 之 间 用 于 传输 组 播 数 据 的 业 务 VLAN 为 VLAN 





10， 而 下 游 用 户主 机 HostA、HostB 和 HostC 分 别 属于 VLAN 100、VLAN 200 和 VLAN 300， 并 











昌都 需要 接 


























Source GEI1/0/0 


GE1/0/0 





HostA :: 
Receiver ; : 
4 


图 13-13 基于 用 户 VLAN 的 组 播 YLAN 配 置 示例 拓扑 结构 









































1. 基本 配置 思路 分 析 


























本 示例 可 采用 基于 用 户 VLAN 的 组 播 YLAN 功 能 来 实现 ， 基 本 配置 思路 如 下 。 


















GE2/0/0 


HostB 
Receiver 





SwitchA 


GE4/0/0 
GE3/0/0 


收 组 播 Source 的 组 播 数据 。 现 要 求 通过 配置 基于 用 户 VLAN 的 组 播 VLAN 功能 ， 满 足 对 于 不 同 
多 份 相同 的 组 播 需求 。 


RouterA 


<—— VLANI0 
























































(1) 在 SwitchA 上 使 能 全 局 的 IGMP Snooping 功 能 。 
(2) 创建 用 户 VLAN， 并 在 用 户 VLAN 下 使 能 IGMP Snooping。 
(3) 创建 组 播 YLAN， 并 在 组 播 YLAN 下 使 能 IGMP Snooping。 















































(4) 在 组 播 YLAN 下 面 绑 定 用 户 VLAN。 
(5) 将 对 应 的 接口 分 另 
2. 有 具体 配置 步骤 





























eo 



























































以 Hybrid 方 式 加 入 对 应 的 用 




















户 VLAN 中 。 


(1) 在 系统 视图 下 使 能 全 局 的 IGMP Snooping 功 能 。 


<SwitchA>system-view 


[SwitchA] igmp-snooping enable 























(2) 创建 用 户 VLAN， 并 在 各 用 户 VLAN 下 使 能 IGMP Snooping 功 能 。 





[SwitchA] vlan 100 

[SwitchA-vlan100] igmp-snooping enable 
[SwitchA-vlan100] quit 

[SwitchA] vlan 200 

[SwitchA-vlan200] igmp-snooping enable 
[SwitchA-vlan200] quit 

[SwitchA] vlan 300 

[SwitchA-vlan300] igmp-snooping enable 
[SwitchA-vlan300] quit 





(3) 创建 组 播 YLAN， 并 在 组 播 YLAN 下 使 能 IGMP Snooping 功 能 。 





[SwitchA] vlan 10 
[SwitchA-vlan10] igmp-snooping enable 


[SwitchA-vlan10] multicast-vlan enable 








主机 有 



































(4) 在 组 播 YLAN10 下 面 绑 定 用 户 VLAN 100、VLAN 200 和 VLAN 300。 
[SwitchA-vlan10] multicast-vlan user-vlan 100 200 300 
[SwitchA-vlan10] guit 

(5) 把 GE10/0、GE2/0/0、GE3/0/0 和 GE4/0/0 接口 以 Hybrid 方式 加 入 对 应 的 VLAN 中 。 
[SwitchA] interfacegigabitethernet 1/0/0 
[SwitchA-GigabitEthernet1/0/0] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet1/0/0] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet1/0/0] quit 
[SwitchA] interfacegigabitethernet 2/0/0 
[SwitchA-GigabitEthernet2/0/0] port hybrid pvid vlan 100 
[SwitchA-GigabitEthernet2/0/0] port hybrid untagged vlan 100 
[SwitchA-GigabitEthernet2/0/0] quit 
[SwitchA] interfacegigabitethernet 3/0/0 
[SwitchA-GigabitEthernet3/0/0] port hybrid pvid vlan 200 
[SwitchA-GigabitEthernet3/0/0] port hybrid untagged vlan 200 
[SwitchA-GigabitEthernet3/0/0] quit 
[SwitchA] interface gigabitethernet 4/0/0 
[SwitchA-GigabitEthernet4/0/0] port hybrid pvid vlan 300 
[SwitchA-GigabitEthernet4/0/0] port hybrid untagged vlan 300 
[SwitchA-GigabitEthernet4/0/0] quit 
配置 好 后 ， 可 在 SwitchA 上 使 用 display multicast-vlan vlan 命 令 查 看 到 组 播 YLAN 和 用 户 VLAN 的 信息 。 


[SwitchA] display multicast-vlan vlan 













































































Total multicast vlan 1 


multicast-vlan user-vlan number snooping-state 
10 3 IGMP Enable /MLD Disable 
[SwitchA] display user-vlan vlan 
Total user vlan 3 
user-vlan snooping-state multicast-vlan snooping-state 
100 IGMP Enable /MLD Disable 10 IGMP Enable /MLD Disable 
200 IGMP Enable /MLD Disable 10 IGMP Enable /MLD Disable 
300 IGMP Enable /MLD Disable 10 IGMP Enable /MLD Disable 








13.5.4 基于 接口 的 组 播 YLAN 配 置 示例 




















本 示例 拓扑 结构 如 图 13-14 所 示 ，SwitchA 上 的 GE1/0/0 接 口 连接 路 由 器 ，GE2/0/0 和 GE3/0/0 接 口 下 的 业 
务 分 别 批发 给 ISP1 和 ISP2，ISP1 和 ISP2 分 别 通过 组 播 YLAN 2 和 组 播 YLAN 3 传输 组 播 数据 。GE2/0/0 和 
GE3/0/0 接 口 下 用 户 VLAN 重 复 ， 都 为 YLAN 10。 为 了 防止 不 同 ISP 的 组 播报 文 会 发 送 到 不 属于 此 ISP 的 用 
户 ， 影 响 到 ISP 的 利益 ， 现 要 求 通过 基于 接口 的 组 播 VYLAN 功 能 ， 指 定 属 于 本 ISP 的 组 播 数 据 只 转发 到 连接 本 
ISP 用 户 的 接口 。 























































































































GE1/0/0 
Source 

GE1/0/'0 
GE2/0/ GE3/0/0 


SwitchA 


ISP2 





VLANI0 © VLANI10 
一 > Multicast Packet | 
CD Multicast VLAN2 
. Receiver Receiver 
CD Multicast VLAN3 HostA HostB 




















图 13-14 基于 接口 的 组 播 YLAN 配 置 示例 的 拓扑 结 梳 








1. 基本 配置 思路 分 析 
本 示例 可 采用 基于 接口 的 组 播 YLAN 功 能 来 实现 ， 基 本 的 配置 思路 如 下 所 示 。 
(1) 在 系统 视图 下 使 能 全 局 IGMP Snooping 功 能 。 
(2) 创建 用 户 VLAN 10。 
(3) 创建 组 播 YLAN 2 和 组 播 YLAN 3， 并 在 组 播 YLAN 下 使 能 IGMP Snooping。 
(4) 在 GE2/0/0 接 口 和 GE3/0/0 接 口 下 对 组 播 YLAN 和 用 户 VLAN 分 别 进 行 绑 定 。 
(5) 将 对 应 的 接口 分 别 以 Hybrid 方式 加 入 VLAN。 
2. 具体 配置 步骤 
(1) 创建 用 户 VLAN 10。 
<SwitchA>system-view 
[SwitchA] vlan 10 
(2) 配置 组 播 VYLAN 2 和 组 播 YLAN 3， 并 在 组 播 VYLAN 下 使 能 IGMP Snooping 功 能 。 
[SwitchA] igmp-snooping enable 
[SwitchA] vlan 2 





































































































































































































[SwitchA-vlan2] igmp-snooping enable 
[SwitchA-vlan2] quit 
[SwitchA] vlan 3 
[SwitchA-vlan3] igmp-snooping enable 
[SwitchA-vlan3] quit 

(3) 在 GE2/0/0 和 GE3/0/0 接 口 下 分 别 对 组 播 YLAN 和 用 户 VLAN 进 行 绑 定 。 
[SwitchA] interface gigabitethernet 2/0/0 
[SwitchA-GigabitEthernet2/0/0] 12-multicast-bind vlan 10 mvlan 2 
[SwitchA-GigabitEthernet2/0/0] quit 
[SwitchA] interface gigabitethernet 3/0/0 
[SwitchA-GigabitEthernet3/0/0] 12-multicast-bind vlan 10 mvlan 3 





[SwitchA-GigabitEthernet3/0/0] quit 

(4) 以 Trunk 方 式 把 GE1/0/0 接 口 加 入 组 播 VYLAN 2 和 组 播 VLAN 3。 
[SwitchA] interfacegigabitethernet 1/0/0 
[SwitchA-GigabitEthernet1/0/0] port link-type trunk 
[SwitchA-GigabitEthernet1/0/0] port trunk allow-pass vlan 2 3 
[SwitchA-GigabitEthernet1/0/0] quit 

(5) 把 GE2/0/0、GE3/0/0 接 口 分 别 以 Hybrid 方 式 加 入 用 户 VLAN 10。 
[SwitchA] interface gigabitethernet 2/0/0 
[SwitchA-GigabitEthernet2/0/0] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet2/0/0] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet2/0/0] quit 
[SwitchA] interface gigabitethernet 3/0/0 
[SwitchA-GigabitEthernet3/0/0] port hybrid pvid vlan 10 
[SwitchA-GigabitEthernet3/0/0] port hybrid untagged vlan 10 
[SwitchA-GigabitEthernet3/0/0] quit 
配置 好 后 ， 可 在 SwitchA 上 是 使 用 display 12-multicast-bind 命 令 查看 接口 下 用 户 VLAN 与 组 播 YLAN 的 绑 

定 信息 。 有 具体 如 下 。 

[SwitchA] display 12-multicast-bind 











































































































Port Startvlan Endvlan Mvlan 
GigabitEthernet2/0/0 10 -- 2 
GigabitEthernet3/0/0 10 -- 3 


Total Table(s) : 2 


第 14 童 ”镜像 配置 与 管理 











14.1 镜像 基础 


14.2 端口 镜像 配置 与 管理 
14.3 流 镜像 配置 与 管理 
14.4VLAN 镜 像 配 置 与 管理 





































































































14.5 MAC 地 址 镜像 配置 与 管理 
在 日 常 的 网 络 维护 中 经 常 遇 到 网 络 性 能 不 正常 现象 (如 网 络 很 卡 、 丢 包 严 重 、 频 繁 断 网 等 ) ， 我 们 就 























会 怀疑 网 络 中 有 病毒 在 频繁 发 送 广 播报 文 ， 或 者 网 络 中 某 人 台 主 机 遭 到 了 不 明 的 攻击 ， 或 者 网 络 中 有 用 户 进 


















































行 非法 的 网 络 应 用 (如 网 上 看 视频 、 下 载 大 容量 文件 等 ) 等 。 此 时 最 有 效 的 手段 就 是 对 网 络 中 的 特定 用 
户 、 协 议 、 端 口 、VLAN 中 的 流量 进行 捕获 ， 然 后 利用 一 些 专门 的 工具 软件 进行 分 析 。 而 这 时 首先 必须 要 做 
的 一 件 事 就 是 在 网 络 设备 上 配置 好 镜像 功能 ， 把 要 监控 的 流量 复制 一 份 到 监控 设备 上 ， 以 便 在 监控 设备 捕 


站 开 | 咱 


钛 女王 
在 华为 $ 系 列 交换 机 中 , “镜像 ”是 这 样 描述 的 : 在 不 影响 报 文正 常 处 理 流 程 的 情况 下 ， 将 镜像 端口 〈 源 
端口 ) 的 报 文 复制 一 份 《 并 不 是 重 定 向 原来 的 报 文 ) 到 观察 端口 《目的 端口 ) ， 然 后 用 户 可 以 利用 数据 监 
控 设备 (如 安装 了 Sniffer、 科 来 、Wireshark 等 数据 分 析 软 件 的 设备 ) 来 分 析 复 制 到 观察 端口 的 报 文 ， 进 行 
网 络 监控 和 故障 排除 。 

在 华为 5 系列 交换 机 中 ， 镜 像 又 分 为 “端口 镜像 ?、“ 流 镜像 ?2、“VLAN 镜 像 ~ 和 “MAC 地 址 镜像 * 四 大 类 。 

而 它们 都 有 本 地 镜像 和 远程 镜像 之 分 ， 其 中 “端口 镜像 ~ 和 “ 流 镜 像 * 的 远程 镜像 中 又 有 二 层 远 程 镜像 和 三 层 远 
程 镜像 之 分 ， 而 “VLAN 镜 像 *? 和 “MAC 地 址 镜像 * 中 的 远程 镜像 只 有 二 层 远 程 镜像 。 而 且 不 同 的 S 系 列 交 换 机 
所 文 持 的 镜像 类 型 不 完全 一 样 ， 本 章 将 具体 介绍 各 S 系 列 交 换 机 对 这 几 种 镜像 特性 的 支持 ， 以 及 配置 与 管理 

















方法 。 































































































控 的 流量 。 










































































































































































































































































14.1 镜像 基 而 








“镜像 ”是 指 将 镜像 端口 〈 源 端口 ) 的 报 文 复制 一 份 到 观察 端口 《目的 端口 )》 ， 然 后 利用 监控 设备 来 观 























察 、 分 析 复 制 到 观察 端口 上 的 报 文 ， 以 实现 网 络 监控 和 故障 排除 。 它 涉及 两 个 重要 的 概念 一 一 镜像 端口 和 


观察 端口 。 
“镜像 端口 ?是 指 被 监控 的 端口 ， 也 称 镜 像 源 端口 ， 从 镜像 端口 流 经 的 所 有 指定 方向 或 匹配 流 分 类 规则 

































































的 报 文 将 被 复制 到 观察 端口 。 而 “观察 端口 "是 指 连接 监控 设备 的 端口 ， 也 称 镜像 目的 端口 ， 用 于 输出 从 镜 
像 端口 复制 过 来 的 报 文 ， 从 而 可 以 使 用 户 监控 到 需要 被 监控 的 报 文 。 


14.1.1 基本 镜像 原理 
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外 说 了 ， 镜 像 就 是 在 不 影响 报 文正 常 处 理 流程 的 情况 下 ， 把 镜像 端口 上 的 报 文 复制 一 份 到 观察 端口 
































的 过 程 ， 所 以 它 不 是 报 文 的 重 定向 ， 数 据 原 来 的 传输 路 径 仍然 不 会 改变 。 根 据 镜 像 端口 的 数量 不 同 ， 又 分 


为 “1 : 1 镜像 ?和 “N : 1 镜像 两 大 类 。 











1 : 1 镜像 是 指 仅 镜像 一 个 端口 上 的 报 文 到 观察 端口 ， 即 此 时 为 一 个 镜像 端口 、 一 个 观察 端口 。 如 图 14- 

















1 所 示 ， 镜 像 端口 B 的 报 文 被 复制 到 观察 端口 C。 




















在 观察 端口 
上 被 监控 的 报 文 


观察 端口 的 路 径 








复制 到 


B 
ne 


图 14-1 1 : 1 镜像 示意 图 











N: 1 镜像 是 指 镜 像 多 个 端口 的 报 文 到 观察 端口 ， 即 此 时 为 多 个 镜像 端口 ， 一 个 观察 端口 ， 表 示 多 个 镜 
像 端 口上 的 报 文 可 以 镜像 到 同一 个 观察 端口 上 。 如 图 14-2 所 示 ， 镜 像 端 口 B 和 镜像 端口 DD 的 报 文 分 别 被 复制 
了 一 份 到 观察 端口 C。 


























| 进入 镜像 六 的 报 文 
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六 A 镜像 端 “复制 到 观 来 端口 的 路 径 






正常 转发 路 径 。 。 观察 端 中 个 


-复制 到 观察 端口 的 路 径 





二 也 
| swwaewz 


图 14-2 N : 1 镜像 示意 图 


14.1.2 镜像 分 类 
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二 





在 华为 $ 系 列 交 换 机 中 ， 总 体 支 持 以 下 几 种 类 型 的 镜像 :端口 镜像 、 流 镜像 、VLAN 镜 像 和 MAC 地 址 
像 。 但 在 华为 $ 系 列 交换 机 的 所 有 类 型 镜像 中 ,，“ 镜 像 端 口 ” 与 “观察 端口 ?只 能 在 同一 台 交换 机 上 配置 。 
不 同 $ 系 列 交换 机 对 这 几 类 镜像 的 文 持 并 不 完全 一 样 ， 下 面 分 别 予 以 介绍 。 

注意 

除了 端口 镜像 可 以 监控 入 方向 或 者 出 方向 ， 或 者 同时 监控 入 方向 和 出 方向 外 ， 其 他 类 型 镜像 都 仅 可 监 
控 入 方向 的 报 文 。 当 不 再 需要 对 报 文 进行 监控 时 ， 建 议 取消 镜像 配置 ， 以 减少 系统 开销 。 

1. 端口 镜像 

“端口 镜像 ”也 就 是 “基于 端口 的 镜像 ?， 是 指 复 制 一 份 从 镜像 端口 流 经 的 报 文 ， 然 后 传送 到 指定 的 观察 端 
口 的 过 程 ， 如 图 14-3 所 示 。 











































































































镜像 端口 二 






































-------- > 复制 报 文 流 监控 设备 
图 14-3 端口 镜像 示意 图 
因为 是 基于 端口 的 镜像 ， 所 以 端口 镜像 可 以 监控 的 报 文 可 以 是 任意 方 同 ， 可 以 选择 以 下 3 种 : 
(1) 入 方向 : 仅 对 流入 端口 的 报 文 进行 镜像 。 
(2) 出 方向 : 仅 对 从 端口 上 流出 的 报 文 进 行 镜像 。 


























(3) 双向 : 同时 对 流入 端口 和 从 端口 
端口 镜像 分 为 本 地 端口 镜像 和 远程 端 
14-4 所 示 。 
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上 流出 的 报 文 进行 镜像 。 
镜像 。“ 本 地 端口 





























镜像 ”是 指 监控 设备 与 观察 端口 直接 相连 ， 如 


—Y> em ----:- > 
Host Switch 监控 设备 
0 镜像 端口 一 一 > 报 文 流 
© 观察 端口 ----; > 复制 报 文 流 
图 14-4 本 地 镜像 示意 图 

















“远程 端口 镜像 ”是 指 监控 设备 与 观察 端 



































不 是 直接 相连 。 








E 这 里 又 分 两 种 情况 。 

















(1) 二 层 远程 端 





口 镜像 RSPAN ( Remote Swit 











中 ， 然 后 通过 被 监控 设备 的 观察 端 








在 远程 

















SwitchA 


Sw 


ched Port Analyzer， 远 程 交 ] 
与 观察 端口 所 连 监控 设备 之 间 通 过 二 层 网 络 相 连 。 被 监控 设备 将 流 经 镜像 端 
镜像 VLAN! 








换 端 口 分 析 器 ) : 监控 设备 
的 报 文 封装 在 镜像 VLAN 


将 报 文 转发 至 监控 设备 ， 如 图 14-5 所 示 。 





















































广播 ,是 

















itchB SwitchC 





Host 
O 镜像 端口 
9 观察 端口 


监控 设备 
一 一 > 报 文 流 
----- > 复制 报 文 流 








口 





图 14-5 二 层 远 种 


ER 
注意 


在 二 层 远程 端口 镜像 中 (其 他 镜像 类 型 的 二 














刁 ; 元 
云 撑 


端口 镜像 示意 图 





程 镜像 也 一 样 ) , “观察 端口 ?和 监控 设备 直接 连接 的 











交换 机 端口 都 必须 同时 加 入 到 镜像 VLAN 中 ， 但 “镜像 端口 ?不 能 加 入 VLAN 中 。 另外 ， 从 监控 设备 所 连接 
的 交换 机 到 观察 端口 的 所 有 二 层 设备 相连 的 Trunk 或 者 带 标签 的 Hybrid 端口 必须 允许 镜像 YLAN 通 过 ， 以 实 
现 二 层 互 通 
(2) 三 层 远 程 端口 镜像 ERSPAN (Encapsulated Remote SPAN， 封 装 的 远程 交换 端口 分 析 器 ) : 监控 

设备 与 观察 端口 所 在 设备 之 间 通 过 三 层 网 络 相连 。 被 监控 设备 将 流 经 镜像 端口 的 报 文 以 GRE 协 议 进行 封 

装 ， 然 后 GRE 隧 道 通过 三 层 IP 网 络 传送 到 监控 设备 ， 如 图 14-6 所 示 。 隧 道 起 始 于 被 监控 设备 ， 终 止 于 监控 设 
备 所 连 三 层 设备 ，GRE 报 文 源 地 址 为 被 监控 主机 耳 地址， 目的 地 址 为 监控 设备 IP 地 址 。 当 然 首先 要 确保 三 
层 网 络 路 由 畅通 。 
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SwitchA SwitchC 
----- > 





Host 监控 设备 


镜像 端口 一 一 > 报 文 流 
© 观察 端口 ----; > 复制 报 文 流 

















14-6 三 层 远 程 端口 镜像 示意 图 





说 明 
流 镜 像 也 支持 三 层 远 程 镜像 ， 但 与 三 层 远程 端口 镜像 一 样 ， 均 仅 S7700/9300/9300E/9700 系 列 交 换 机 支 











2. 流 镜 像 

“ 流 镜像 ”也 就 是 “基于 流 的 镜像 ?， 就 是 根据 用 户 配 置 的 策略 ， 将 镜像 端口 上 指定 的 入 方向 不 支持 出 
方向 的 流 镜像 ) 报 文 复制 到 观察 端口 进行 分 析 和 监控 。 在 流 镜像 中 ， ee 包含 流 镜像 
行为 的 流 策 略 。 如 果 从 镜像 端口 流 经 的 报 文 匹配 流 分 类 规则 ， 则 将 被 复制 到 观察 端口 ， 如 图 14-7 所 示 。 
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弹 像 端口 | 





< 
镜像 端口 人 观察 端口 | 


@@ 端口 内 
(人 严 配 流 分 类 i 
一 > 报 文 流 a 

ee > 复制 报 文 流 人 





图 14-7 流 镜像 示意 图 





流 镜像 也 分 本 地 流 镜 像 和 远程 流 镜像 两 大 类 ， 而 远程 流 镜像 也 分 二 层 远 程 流 镜像 和 三 层 远 程 流 镜像 。 
本 地 流 镜像 、 一 层 远程 流 镜像 和 三 层 远程 流 镜像 的 网 络 结构 分 别 参见 图 14-4、 图 14-5 和 图 14-6。 但 三 层 远程 



































流 镜 像 S7700/9300/9300E/9700 系 列 交换 机 支持 。 


3. VLAN 镜 像 
VLAN 镜 像 也 就 是 “基于 VLAN 的 镜 








像 *， 是 指 将 指定 VLAN 内 所 有 活动 接口 











VLAN 镜像 ) 上 的 报 文 镜像 到 观察 端 
VLAN 镜 像 仅 分 本 地 VLAN 镜 像 和 二 

像 、 二 层 远 程 VLAN 镜 像 的 网 络 结 
4. MAC 地 址 镜像 




















MAC 地 址 镜像 即 “ 基 于 MAC 地 址 的 镜像 "”， 是 指 将 





的 MAC 地 址 镜像 ) 报 文 镜像 到 观察 端口 
络 中 特定 设备 的 报 文 进行 监控 。 

MAC 地 址 镜像 也 仅 分 本 地 MACH 
本 地 MAC 地 址 镜像 、 二 层 远 程 MACt 




















ht 
bh 






































14.1.3 镜像 特性 的 产品 支持 





。 用 














匹配 源 或 目 











的 入 方向 (不 支持 出 方向 的 
户 可 以 对 某 个 VLAN 或 者 某 些 VLAN 内 的 报 文 进行 监控 。 

屋 远程 VLAN 镜 像 两 类 ， 无 三 层 远 程 VYLAN 镜 像 。 本 地 VLAN 镜 
构 分 别 参 见 图 14-4 和 图 14-5。 








的 MAC 地 址 的 入 方向 (不 支持 出 方向 

















14-5。 











1.S2700/3700 系 列 交换 机 的 镜像 特性 


在 上 节 介绍 的 4 种 镜像 特性 中 ， 不 同系 列 交换 机 对 它们 的 支持 并 不 完 


E 文 持 








一 样 。 下 酝 

















分 系列 





。MAC 地 址 镜像 提供 了 一 种 更 加 精确 的 镜像 方式 ， 用 户 可 以 对 网 


LF}: 镜像 和 二 层 远程 MAC 地 址 镜像 两 类 ， 无 三 层 远程 MAC 地 址 镜像 。 
上 镜像 的 网 络 结构 分 别 参见 图 14-4 和 图 

















人 体 介绍 。 








(1) S2700SI 和 S2710SI 系 列 不 支持 基于 流 、VLAN 和 MAC 地 址 的 远程 镜像 (但 仍 支 持 这 些 类 型 的 本 地 















































































































































镜像 和 基于 端口 的 本 地 、 远 程 镜像 ) 。 其 他 S2700/3700 系 列 均 同时 支持 基于 端口 、 流 、VLAN 和 MAC 地 址 
的 本 地 和 远程 镜像 。 

(2) S2700 和 S3700 系 列 均 支 持 将 多 个 端口 的 入 方向 和 出 方向 报 文 镜像 到 一 个 观察 端口 ， 并 且 支 持 两 个 
方向 的 报 文 镜像 到 同一 观察 端口 。 但 不 支持 一 条 流 同 时 镜像 到 多 个 观察 接口 。 

(3) S3700、S2710SI、S2700-52P-EI 和 S2700-52P-PWR-EI 系 列 支 持 配置 4 个 观察 端口 ， 其 他 S2700 系 列 
仅 支 持 配 置 1 个 观察 端口 。 

2. S5700/6700 系 列 交 换 机 的 镜像 特性 支持 

(1) S5700SI 不 支持 基于 流 、VLAN 和 MAC 地 址 的 远程 镜像 〈 但 仍 支持 这 些 类 型 的 本 地 镜像 和 基于 
端口 的 本 地 、 远 程 镜 像 ) 。 其 他 系列 均 同 时 支持 基于 端口 、 流 、VLAN 和 MAC 地 址 的 本 地 和 远程 镜像 。 

(2) S5700 和 S6700 系 列 支 持 将 多 个 端口 的 入 方向 和 出 方向 报 文 镜像 到 一 个 观察 端口 ， 并 且 支 持 两 个 方 
向 的 报 文 镜像 到 同一 观察 端口 。 但 不 支持 一 条 流 同 时 镜像 到 多 个 观察 接口 。 


























(3) S5700HI 和 S5710EI 系 列 支 持 配置 两 个 观察 端 
S6700 系 列 仅 支持 配置 1 个 观察 端 


S5700S-LI、S5700LI 和 和 




















门 。 


3. S7700/9300/9300E/9700 系 列 交 换 机 的 镜像 特性 支持 





(1) 仅 支 持 端口 镜像 和 流 镜 像 。 











(2) 设备 支持 跨 板 镜像 ， 观 察 端 口 和 镜像 端 
， 支 持 将 一 个 端口 














(3) 设备 可 以 配置 8 个 观察 端 
向 的 流量 只 能 镜像 到 一 个 观察 端口 上 


























o 




















可 以 配置 在 同一 台 设 备 的 不 同 接 











口 ，S5700EI 系 列 支 持 配置 4 个 观察 端口 ，S5700SI、 


板 上 。 








的 报 文 镜像 到 多 个 观察 端 














(4) 设备 支持 将 多 个 端 
一 观察 端口 。 

















到 同 








的 入 方向 和 出 方向 报 文 镜像 到 一 个 观察 这 








(5) 设备 每 块 单 板 最 多 





可 以 同时 运用 





3 个 观察 妆 

















个 观察 端口 用 于 镜像 端口 出 方向 流量 。 同 一 块 单 板 的 端 





持 对 镜像 报 文 进行 再 次 镜像 。 





岩 口 ， 其 中 两 个 观察 
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镜 











站 
全 已 
He 














口 出 方向 流量 只 





， 但 镜像 端 


Hf 口 ， 并 且 支 持 两 个 方向 


用 于 镜像 端口 入 方向 流量 
像 到 同一 个 观察 端口 。 





的 一 个 方 








的 报 文 镜像 








且 不 文 


























14.2 端口 镜像 配置 与 管理 





























端口 镜像 是 基于 端口 的 镜像 ， 可 以 对 流 经 端口 








的 报 文 同时 进行 镜像 。 端 口 镜像 又 分 本 地 端口 镜像 和 远程 端口 镜像 两 种 ， 而 远程 端口 








的 入 方向 、 出 方向 的 报 文 进行 单独 镜像 ， 或 者 两 个 方向 














端口 镜像 和 三 层 远程 端口 镜像 两 种 。 下 面 分 别 进行 介绍 。 


配置 好 后 ， 可 通过 display observe-port 得 








E 意 视图 命令 查看 镜像 的 观察 端口 ; 














mirroring 任意 视图 命令 查看 镜像 的 配置 信息 。 








14.2.1 配置 本 地 端口 镜像 








通过 配置 本 地 端口 镜像 〈 网 络 结构 参见 图 14-4) ， 可 以 将 端口 








的 监控 设备 进行 分 析 和 监控 。 配 置 方法 很 简单 ， 包 括 以 下 两 项 主要 的 配置 任务 。 





1. 配置 本 地 观察 端口 











上 的 端口 。 
2. 配置 镜像 端口 





在 本 地 镜像 中 ， 监 控 设 备 与 观察 端口 是 直接 相连 的 ， 所 以 观察 端口 











镜 
同一 个 观察 端 



































反 ， 如 果 要 配置 Eth-trunk 口 下 某 成 员 接 口 为 镜像 端口 ， 则 不 能 再 配置 该 成 员 对 应 的 Eth-trunk 口 为 镜像 端 
以 上 两 项 本 地 端口 镜像 配置 任务 的 











消 镜像 配置 ， 以 减少 系统 开销 。 


公共 配置 


步骤 




















像 端口 就 是 要 被 监控 流量 的 端口 ， 可 以 是 以 太 网 端口 或 Eth-Trunk 端 
的 镜像 。 如 果 配 置 Eth-trunk 为 镜像 端 


























表 14-1 本 地 端 


System-view 
例如 : <HUAWEI> 
system-view 


体 配 置 步骤 如 表 14-1 所 示 。 














镜像 中 又 分 二 层 远程 


流 经 的 报 文 复制 到 与 本 地 观察 端口 





通过 display port- 





连接 


就 是 监控 设备 所 连接 的 本 地 交换 机 


口 ， 可 以 配置 多 个 镜像 端口 到 











口 ， 则 不 能 再 单独 配置 其 成 员 接 口 






































口 镜像 配置 步 又 





进入 系统 视图 





配置 本 地 
观察 端口 








[3 





observe-port observe-port- 
index interface interface-type 
interface-number 

例如 : [HUAWEI] 
observe-port 1 interface 
GigabitEthernet 2/0/0 


配置 本 地 观察 端口 。 命 令 中 的 参数 说 明 如 下 。 
(1) observe-port-index: 指定 观察 接口 的 索引 ， 不 
同 S 系列 交换 机 上 的 取 值 范围 不 同 : 
S2700/5700SL/5700S-L1/5700L1/6700 系列 只 能 为 
1; S5700HIS710EI 系列 为 1 一 2 的 整数 ，S23700/ 
5700EI 系列 为 1 一 4 的 整数 ; S7700/9300/ 
9300E/9700 系列 为 1 一 8 的 整数 ， 量 缺 省 值 为 1 
(2) interface-type interface-number: 指定 要 作为 观 
察 端 口 的 接口 类 型 和 编号 。 接 口 类 型 包括 Ethernet 
接口 (管理 网 口 除 外 )、Eth-Trunk 接口 、 
GigabitEthernet 接口 和 XGE 接口 

缺 省 情况 下 ， 系 统 没 有 配置 本 地 观察 端口 ， 可 用 
undo observe-port observe-port-index 命令 删除 配 


置 的 指定 号 的 本 地 观察 端口 。 如 果 要 修改 观察 端 





口 ， 则 需 先 删除 原来 的 配置 后 再 重新 配置 





为 镜像 端口 。 相 
国有 





当 不 再 需要 对 报 文 进行 监控 时 建议 取 


( 续 表 ) 





| 配置 任 务 | 步 邓 | 


说 明 
































eee iterfice-9Pe | 键 和 要 配置 久 像 端口 的 接口 类 型 和 编号 。 镜 像 册 
3 | 例如 : [HUAWEI] interfae 口 可 以 是 以 太 网 端口 或 Eth-Trunk 端口 。 建 议 观 
Eb: 0 ”| 察 端口 和 被 观察 端口 同类 型 、 同 带宽 
GigabitEthernet 2/0/10 
配置 基于 端口 的 本 地 镜像 。 命 令 中 的 参数 和 选项 
说 明 如 下 。 
(1) observe-port-index: 指定 要 作为 镜像 端口 的 
观察 端口 索引 号 ， 一 定 要 与 第 2 步 配置 的 观察 端 
忆 哮 借 像 port-mirroring to 口号 一 致 
Br DO (2) both;， 多 选 一 选项 ， 指 定 同时 监控 以 上 端口 
而 [el serve-port-ina EX 的 入 和 出 两 个 方向 报 文 
{ both |inbound |outbound cl ER 
4 TEA } | (3) inbound: 多 选 一 选项 ， 指 定 仅 监 控 以 上 端 
GigabitEtheet2/0/10] SS hy a 
port-mirroring to (4) outbound: 多 选 一 选项 ， 指 定 仅 监控 以 上 端 
observe-port 1 inbound 口 的 出 方向 报 文 
缺 省 情况 下 ， 接 口 不 配置 镜像 功能 ， 可 用 undo 
port-mirroring [ to observe-port observe-port- 
index ] { both | inbound | outbound } 命 令 取 消 对 
该 接口 的 对 应 镜像 功能 
14.2.2 配置 远程 端口 镜像 
\ 了 和 ED MI VE » ;二 3 | 大) \ 二 4 二 二 
通过 配置 远程 端口 镜像 ， 可 以 将 端口 流 经 的 报 文 复制 到 远 端 监控 设备 进行 分 析 和 监控 《网 络 结构 参见 


图 14-5 和 图 14-6) 。 远 程 端口 镜像 又 分 二 层 远 程 端 口 镜 像 和 三 层 远 程 端 口 镜像 ， 但 只 
有 S7700/9300/9300E/9700 系列 支持 三 层 远 程 端 























远程 端口 镜像 的 主要 配置 任务 如 下 。 在 配置 远程 端口 

















口 镜像 。 














备 之 间 二 层 或 三 层 网 络 互通 。 








1. 配置 远程 观察 端口 





远程 镜像 中 ， 监 控 设 备 与 观察 端口 所 在 设备 之 间 跨 越 二 层 或 三 层 网 络 相连 《网 络 乡 




















镜像 之 前 ， 需 要 确保 观察 端口 所 在 设备 与 监控 设 


i 构 分 别 参 见 图 14-5 


和 图 14-6) 。 设 备 将 镜像 报 文 封装 VLAN 或 GRE IP 报 文 ， 然 后 通过 观察 端口 在 远程 镜像 VLAN 中 广播 ， 将 报 


文 转发 至 监控 设备 。 








2. 配置 镜像 端口 


镜像 端口 可 以 是 以 太 网 端口 或 Eth-Trunk 端 口 























配置 其 成 员 接 口 为 镜 
口 为 镜像 端口 。 























。 同 样 ， 如 果 配 置 Eth-trunk 口 为 镜像 端口 
像 端 口 。 相 反 ， 如 果 配 置 Eth-trunk 口 下 某 成 员 接口 为 镜像 端口 ， 则 不 能 再 配置 Eth-trunk 





























， 则 不 能 再 单独 



































远程 端口 镜像 配置 与 上 节 介 绍 的 本 地 镜像 配置 的 唯一 区 别 就 在 观察 端口 的 配置 上 ， 镜 像 端 口 的 配置 方 


=p 





法 是 完全 一 样 的 。 以 上 两 项 配置 任务 的 



































表 14-2 远程 端口 


配置 任务 | 步骤 命令 


体 配 置 步骤 如 表 14-2 所 示 。 





镜像 的 配置 步 又 


说 明 





System-view 
例如 : <HUAWEI> 


system-view 


公共 配置 


步 又 


进入 系统 视图 





( 续 表 ) 


配置 远程 
观察 端口 


observe-port ohserve-port- 
index interface inter/ace- 
type interface-number vlan 
van-id 

例如 : [HUAWEI 
observe-port 2 interface 
GigabitEthemet 2/0/0 vlan 10 


(可 选 ) 配置 二 层 远程 端口 镜像 中 的 远程 观察 
端口 并 指定 远程 镜像 VLAN。 命 令 中 的 
observe-port-index 和 interface-type interfuce- 
number 参数 与 上 节 表 14-1 第 2 步 中 的 说 明 一 
样 ，vian-id 用 来 指定 镜像 报 文 封 装 的 VLAN 
ID〔 即 镜像 YLAN)， 取 和 值 范围 为 1 一 4 094。 
该 VLAN 需 事 先 已 创建 好 ， 并 把 观察 端口 加 
入 到 该 VLAN 中 ， 但 镜像 端口 不 允许 加 入 远 
程 镜 像 VLAN 

缺 省 情况 下 ， 系 统 没有 配置 远程 观察 端口 ， 可 
用 undo observe-port observe-port-index 命令 删除 
配置 的 指定 号 的 远程 观察 端口 。 如 果 要 修改 观察 
端口 ， 则 需 先 删除 原来 的 配置 后 再 重新 配置 








observe-port [ observe- 
port-index ] interface 
interface-type interface- 
number destination-ip 
dest-ip-address source-ip 
source-ip-address [ dsep dscy> 
Value | vlan vlan-id ] * 
例如 : [HUAWEJ] 
observe-port 2 interface 
gigabitethernet 1/0/1 
destination-ip 1.1.1.1 


(可 选 ) 配置 三 层 远程 端口 镜像 中 的 远程 观察 
端口 并 指定 远程 镜像 VLAN。 命 令 中 的 
observe-port-index 和 interface-type interface- 
number 参数 也 与 上 节 表 14-1 第 2 步 中 的 说 明 
- 样 。 其 他 参数 说 明 如 下 。 
51) dest-ip-address: 指定 GRE 报 文 的 目的 人 P 
地 址 ， 是 监控 设备 的 IP 地址 
(2) source-ip-address: 指定 GRE 报 文 的 源 IP 
地 址 ， 是 被 监控 主机 的 IP 地 址 
(3) dscp-value: 可 多 选 参 数 ， 指 定 GRE 报 文 的 
优先 级 ， 取 值 范 围 为 0~63 的 整数 ， 缺 省 值 为 0 
(4) vlan-id: 可 多 选 参数 ， 指 定 GRE 隧道 的 
- 层 报 文 封装 的 VLAN ID。 该 VLAN 需 事先 
已 创 建 好 ， 并 把 观察 端口 加 入 该 VLAN 中 ， 
但 镜像 端口 不 允许 加 入 远程 镜像 VLAN 
缺 省 情况 下 ， 系 统 没有 配置 远程 观察 端口 ， 可 用 
undo observe-port observe-port-index 命令 删除 配 
塞 的 指定 号 的 远程 观察 端口 。 如 果 要 修改 观察 庙 
口 ， 则 需 先 删 除 原来 的 配置 后 再 重新 配置 





配置 镜像 
端口 


【示例 1】 配 置 GigabitEthernet1/0/2 接 口 为 二 层 远程 镜像 观察 端口 ， 接 口 所 届 


<HUAWEI>system-view 


Interface interface-type 
interface-number 

例如 : [HUAWEI] interface 
GigabitEthernet 2/0/10 
port-mirroring to observe- 
port observe-port-index 
{both | inbound | outbound } 
例如 : [HUAWEI- 
GigabitEthernet2/0/10] 
port-mirroring to 
observe-port 2 inbound 


键入 要 配置 镜像 端口 的 接口 类 型 和 编号 ;镜像 端口 
可 以 是 以 太 网 端口 或 Eth-Trunk 端口 。 建 议 观察 端 


口 和 被 观察 端口 同类 型 、 同 带宽 


配置 基于 端口 的 远程 镜像 ， 其 他 说 明 参 见 上 节 表 


14-1 中 的 第 4 步 











[HUAWEH observe-port 1 interface gigabitethernet 1/0/2vlan 2 


【示例 2】 配 置 GigabitEthernet1/0/1 接 口 为 三 层 远 程 镜像 观察 端口 ， 目 的 IP 为 1.1.1.1， 源 IP 为 2.2.2.2。 


<HUAWEI>system-view 


[HUAWEI] observe-port 2 interface gigabitethernet 1/0/1destination-ip 1.1.1.1 source-ip 2.2.2.2 


14.2.3 本 地 端口 镜像 配置 示例 














和 VLAN 为 2。 





本 示例 拓扑 结构 如 图 14-8 所 示 ，HostA 通 过 GigabitEthernet1/0/1 接 口 接 入 SwitchA。 监 控 设备 Server 直 连 
在 SwitchA 的 接口 GigabitEthernet1/0/2 上 。 用 户 希 望 通过 监控 设备 Server 对 HostA 发 送 的 报 文 进行 监控 。 

















GE1/0/1 GE1/0/2 


HostA SwitchA Server 





图 14-8 本 地 端口 镜像 配置 示例 拓扑 结构 

















本 地 端口 镜像 配置 很 简单 ， 就 是 分 别 配置 观察 端口 和 镜像 端口 。 本 示例 中 ， 观 察 端 口 为 SwitchA 的 
GigabitEthernet1/0/1 接 口 ， 镜 像 端口 为 SwitchA 的 GigabitEthernet1/0/2 接 口 。 下 面 是 具体 的 配置 步骤 。 

(1) 在 SwitchA 上 配置 GigabitEthemet1/0/2 接 口 为 观察 端口 。 

<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] observe-port 1 interface gigabitethernet 1/0/2 
(2) 在 SwitchA 上 配置 GigabitEthermet1/0/1 接 口 为 镜像 端口 ， 以 监控 HostA 发 送 的 报 文 。 

[SwitchA] interfacegigabitethernet 1/0/1 

































































[SwitchA-GigabitEthernet1/0/1] port-mirroring to observe-port 1 inbound 

[SwitchA-GigabitEthernet1/0/1] quit 

配置 好 后 ， 可 以 通过 display observe-port 任 意 视图 命令 查看 观察 端口 的 配置 情况 。 具 体 如 下 ， 从 中 可 以 
看 到 已 配置 的 一 个 观察 端口 : GigabitEthernet1/0/2。 

<SwitchA>display observe-port 

























































































Index :1 
Interface: GigabitEthermnet1/0/2 
还 可 通过 display port-mirroring 任 意 视 图 命令 查看 镜像 端口 的 配置 情况 。 具 体 如 下 ， 从 中 可 以 看 到 已 配 
置 的 镜像 端口 (Mirror-port〉 和 观察 端口 (Observe-port) ， 以 及 监控 的 报 文 方向 为 入 方向 (Inbound) 。 
















































































14.2.4 二 层 远程 端口 镑 像 配 置 示例 


















































本 示例 拓扑 结构 如 图 14-9 所 示 ， HostA 通过 GigabitEthernetl/0/2 接口 接 入 SwitchA。 监 控 设 备 Server 接 


在 SwitchC 的 GigabitEthernetl/O/1 接 口上 。SwitchA 与 SwitchC 通 过 二 层 网 络 互 连 。 用 户 希望 通 过 监控 设备 
Server 对 HostA 发 送 的 报 文 进行 远程 监控 。 












































Me SwitchB .oom 












本 VLAN2、 
sm GE1/O/1 sm GE1/0/2 es 
SwitchA SwitchC 
， GE1/0/ GEIO2 tal 
GEI/02 | “Ws > ”| GEUOI 
a i 
HostA Server 


























图 14-9 二 层 远程 端口 镜像 配置 示例 拓扑 结构 






































二 层 远程 端口 镜像 与 本 地 端口 镜像 配置 差不多 ， 主 要 不 同 是 需要 事先 配置 好 各 二 层 交换 机 端口 中 的 
VLAN 属 性 ， 以 实现 各 二 层 设备 间 二 层 可 达 。 另 外 在 二 层 网 络 各 交换 机 上 创建 镜像 VLAN， 把 观察 端口 以 及 
监控 设备 相连 的 交换 机 端口 加 入 镜像 YLAN 中 ， 同 时 要 确保 二 层 网 络 传输 中 各 交换 机 相连 接 的 Trunk 端 口 允 
许 镜 像 VYLAN 通 过 。 有 具体 配置 步骤 如 下 。 

(1) 配置 各 交换 机 接口 类 型 ， 并 按 图 中 所 示 加 入 对 应 的 VLAN 中 ， 使 各 设备 间 二 层 可 达 。 
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\ 邓 、 
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过 





SwitchA 上 的 配置 : 
<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] vlan batch 2 to 3 #--- 批 量 创建 VLAN 2 和 VLAN 3， 其 中 VLAN 2 是 作为 镜像 VLAN 的 
[SwitchA] interface gigabitethernet 1/0/1 









































[SwitchA-GigabitEthernet1/0/1] port link-type trunk 

[SwitchA-GigabitEthermet1/0/1] port trunk allow-pass vlan 2 ”#--- 在 观察 端口 上 允许 镜像 VLAN 2 通过 
[SwitchA-GigabitEthernet1/0/1] quit 

[SwitchA] interface gigabitethernet 1/0/2 














[SwitchA-GigabitEthernet1/0/2] port link-type access 
[SwitchA-GigabitEthernet1l/0/2] port default vlan 3 ”#--- 把 镜像 端口 加 入 VLAN 3 中 
[SwitchA-GigabitEthernet1/0/2] quit 

SwitchB 上 的 配置 : 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchB 
[SwitchB] vlan 2 
[SwitchB-vlan2] quit 









































[SwitchB] interface gigabitethernet 1/0/1 
[SwitchB-GigabitEthernet1/0/1] port link-type trunk 
[SwitchB-GigabitEthernet1/0/1] port trunk allow-pass vlan 2 #--- 在 二 层 设备 间 的 链 路 上 人 允许 镜像 VLAN 2 





[SwitchB-GigabitEthernet1/0/1] quit 

[SwitchB] interface gigabitethernet 1/0/2 

[SwitchB-GigabitEthernet1/0/2] port link-type trunk 

[SwitchB-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 #--- 在 二 层 设备 间 的 链 路 上 人 允许 镜像 VLAN 2 








[SwitchB-GigabitEthernet1/0/2] quit 
SwitchC 上 的 配置 : 
<HUAWEI> system-view 
[HUAWEI] sysname SwitchC 
[SwitchC] vlan 2 
[SwitchC-vlan2] quit 


























[SwitchC] interface gigabitethernet 1/0/1 

[SwitchC-GigabitEthernet1/0/1] port link-type access #--- 把 监控 设备 相连 端口 加 入 镜像 VLAN 中 
[SwitchC-GigabitEthernet1/0/1] port default vlan 2 

[SwitchC-GigabitEthernet1/0/1] guit 

[SwitchC] interface gigabitethernet 1/0/2 








[SwitchC-GigabitEthernet1/0/2] port link-type trunk 
[SwitchC-GigabitEthernet1/0/2] port trunk allow-pass vlan 2 #--- 在 二 层 设备 间 的 链 路 上 人 允许 镜像 VLAN 2 








[SwitchC-GigabitEthernet1/0/2] guit 
(2) 在 SwitchA 上 配置 GigabitEthemet1/0/1 接 口 
[SwitchA] observe-port 1 interfacegigabitethernet 

















(3) 在 SwitchA 上 配置 GigabitEthernet1/0/2 接 口 
[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port-mirroring to 
[SwitchA-GigabitEthernet1/0/2] quit 
配置 好 后 ， 可 在 SwitchA 上 






































j display observe-port 任 意 视图 





Me 


过 








F 且 指定 





过 镜像 VLAN 2 广播 








1/0/1vlan 2 
为 镜像 端口 ， 并 监控 入 方向 的 报 文 。 
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observe-port 1 inbound 

















命令 查看 观察 端口 的 配置 情 





况 ; 











4 display 























port-mirroring 任 意 视图 命令 查看 镜像 端 


<SwitchA>display observe-port 





























Index :1 
Interface: GigabitEthermet1/0/1 
Vlan :2 


<SwitchA>display port-mirroring 
Port-mirror: 


Direction 


GigabitEthernet1/0/2 Inbound 








14.2.5 三 层 远 程 端 








镜像 配置 示例 























如 图 





14-10 所 示 ，HostAi 


前 过 GigabitEthernet1/0/2 接 口 


的 配置 情况 。 结 果 如 下 。 


Observe-port 


GigabitEthernet1/0/1 





接 入 SwitchA。 监 控 设备 Server 连 接 在 SwitchB 的 














GigabitEthernet1/0/2 接 口 









GE1/0/1 


SwitchA 


GE1/0/2 


HostA 
10.1.1.1/24 


图 





14-10 三 层 远程 端 


上 。 HostA 与 Server 之 间 跨 越 三 层 网 络 
对 HostA 发 送 的 报 文 进行 远程 监控 。 仅 $7700/9300/9300E/9700 系 帮 


Network 
































目 路 由 可 达 。 现 用 户 和 希望 通过 监控 设备 Server 
jj 交换机 支持 三 层 远程 端口 镜像 。 




















SwitchB 
GE1/0/2 


Server 
10.2.1.1/24 





口 镜像 配置 示例 拓扑 结构 




















本 示例 中 假设 已 配 置 好 了 三 层 网 络 间 的 路 
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慨 远程 端口 镜像 的 配置 就 很 简单 了 ， 只 需要 按照 14.2.2 


























节 中 的 表 14-2 所 示 的 步骤 配置 好 观察 端口 和 镜像 端口 就 行 了 。 有 具体 配置 如 下 。 
(1) 在 SwitchA 上 配置 GigabitEthermet1/0/1 接 口 为 三 层 远 程 镜像 观察 端口 ， 并 指定 封装 的 GRE 报 文 报头 
中 的 目的 IP 地 址 为 Server 的 P 地 址 ， 源 IP 地 址 为 被 监控 主机 HostA 的 IP 地 址 。 
<HUAWEI>system-view 
[HUAWEI] sysname SwitchA 
[SwitchA] observe-port 1 interface gigabitethernet 1/0/1destination-ip 10.2.1.1 source-ip 10.1.1.1 
(2) 在 SwitchA 上 配置 GigabitEthemet1/0/2 接 口 为 镜像 端口 ， 并 指定 仅 监 控 该 端口 上 的 入 方向 报 文 。 
[SwitchA] interfacegigabitethernet 1/0/2 































































































[SwitchA-GigabitEthernet1/0/2] port-mirroring to observe-portl inbound 

[SwitchA-GigabitEthernet1/0/2] quit 

配置 好 后 ， 同 样 可 使 用 display observe-port 任 意 视图 命令 查看 观察 端口 的 配置 情况 ， 使 用 display port- 
mirroring 任 意 视图 命令 查看 镜像 端口 的 配置 情况 ， 验 证 配置 结果 。 具 体 如 下 。 

<SwitchA>display observe-port 









































































































































Index :1 

Interface: GigabitEthermet1/0/1 

Vlan :0 

Dscp :0 

Src-Ip :10.1.1.1 

Dst-Ip :10.2.1.1 

Src Mac :00-25-9e-37-ee-a5 

Dst Mac :ff-ff-ff-ff-ff-ff 
<SwitchA>display port-mirroring 

Port-mirror: 





14.3 流 镜像 配置 与 管理 



































流 镜像 〈 即 “基于 流 的 镜像 ”) 是 通过 QoS 中 的 复杂 流 策略 对 特定 的 报 文 进行 监控 的 方法 〈 仅 支持 入 方向 
的 报 文 监控 ) ， 也 分 本 地 流 镜 像 和 远程 流 镜像 两 类 ， 而 远程 流 镜像 又 分 为 二 层 远 程 流 镜像 和 三 层 远程 流 镜 
人 下 面 分 别 介绍 这 几 种 流 镜 像 的 配置 与 管理 方法 。 
配置 好 后 ， 可 通过 以 下 display 任意 视图 命令 检查 相关 配置 。 
(1) 使 用 display observe-port 命令 查看 镜像 的 观察 端口 。 
(2) 使 用 display traffic behavioruser-defined [behavior-name ] 命令 查看 流 镜像 行为 的 配置 信息 。 
(3) 使 用 display traffic classifieruser-defined [ classifier-name ] 命令 查看 流 分 类 的 配置 信息 。 















































































































































(4) 执行 display traffic policy user-defined [policy-name [ classifier classifier-name ] ] 命令 查看 用 户 定 
义 的 流 策略 的 配置 信息 。 
(5) 使 用 display traffic-policy applied-record [policy-name ] 命令 查看 指定 流 镜像 策略 的 应 用 记录 信 
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14.3.1 配置 本 地 流 镜像 











通过 配置 本 地 流 镜像 ， 可 将 镜像 端口 上 流 经 的 特定 入 方向 报 文 复制 到 本 地 的 监控 设备 进行 分 析 和 监 
空 。 主 要 的 配置 任务 如 下 。 
(1) 配置 本 地 观察 端口 
本 地 镜像 中 ， 监 控 设 备 与 观察 端口 直接 相连 。 
(2) 配置 流 分 类 
需 根据 实际 应 用 ， 选 择 合适 的 流 分 类 规则 ， 定 义 对 应 的 复杂 流 分 类 ， 上 有 具体 配 置 参见 本 书 第 11 章 11.4.1 节 
QoS 流 策略 中 的 流 分 类 。 
(3) 配置 流 镜像 行为 
定义 将 符合 流 分 类 规则 的 所 有 报 文 镜像 到 观察 端口 的 流行 为 。 有 基体 配置 参见 本 书 第 11 章 11.4.2 节 QoS 流 
策略 中 的 流行 为 。 
(4) 配置 流 镜像 策略 
创建 一 个 流 镜像 策略 ， 将 以 上 定义 的 流 分 类 和 流行 为 关联 起 来 。 具 体 配 置 参见 本 书 第 11 章 11.4.3 节 QoS 
流 策略 中 的 流 策略 。 
(5) 应 用 流 镜像 策略 
将 关联 了 流行 为 与 流 分 类 的 完整 流 策略 应 用 到 全 局 、 接 口 或 VYLAN 上 。 具 体 配 置 参 见 本 书 第 11 章 11.4.4 
节 QoS 流 策略 中 的 流 策略 应 用 。 
以 上 五 项 配置 任务 的 具体 配置 步骤 如 表 14-3 所 示 。 
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表 14-3 本 地 流 镜像 配置 步 又 
































命令 
i system-view 
又， 1 例如 : <HUAWEI> 进入 系统 视图 
上 system-view 
observe-port 
observe-port-index 
; 置 本 地 i interface-ty) 人 ji rr 
人 interface interace 0pe | 配置 本 地 流 镜 像 观察 端口 。 其 他 说 明 参 见 表 14-1 中 
流 镜 像 观 2 interface-number 的 第 2 步 
察 端口 例如 : [HUAWEI] 
observe-port 1 interface 
GigabitEthernet 2/0/0 
配置 3 根据 本 书 第 11 章 11.4.1 节 的 介绍 , 选择 适合 的 流 分 类 方式 对 需要 监控 的 报 文 定 
流 分 类 义 一 个 流 分 类 
创建 流 镜像 行为 ， 并 进入 流 镜像 行为 视图 。 参 数 
traffic behavior behavior-name 用 来 指定 流行 为 名 称 ， 为 1 一 31 个 字 
四 behavior-name 符 ， 不 支持 空格 ， 区 分 大 小 写 
例如 : [HUAWEI] traffie | 缺 省 情况 下 ， 系 统 未 创建 任何 流行 为 ， 可 用 undo 
behavior bl traffic behavior behavior-name 命令 删除 指定 的 流 镜 
配置 4 
流行 为 和 
行为 i ET 二 
mirroring to observe-port | 将 满足 规则 的 流 镜像 到 指定 的 观察 端口 。 参 数 
observe-port-index observe-port-index 用 来 指定 观察 端口 索引 号 ,一 定 要 
5 例如 : [HUAWEI- 与 第 2 步 中 指定 的 观察 端口 索引 号 一 致 
behaviorbl] mirroring | 缺 省 情况 下 ， 系 统 未 对 任何 报 文 定义 流 镜像 动作 ， 
to observe-port 1 可 用 undo mirroring 命令 取消 该 流 的 镜像 动作 








system-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





observe-port 
observe-port-index 
interface interface-ype 
interface-number 

例如 : [HUAWEI] 
observe-port 1 interface 
GigabitEthernet 2/0/0 


配置 本 地 流 镜 像 观察 端口 。 其 他 说 明 参 见 表 14-1 中 
的 第 2 步 





根据 本 书 第 11 章 11.4.1 节 的 介绍 ,选择 适合 的 流 分 类 方式 对 需要 监控 的 报 文 定 


义 一 个 流 分 类 





traffic behavior 
behavior-name 

例如 : [HUAWEI] traffic 
behavior bl 


创建 流 镜像 行为 ， 并 进入 流 镜像 行为 视图 。 参 数 
behavior-name 用 来 指定 流行 为 名 称 ， 为 1 一 31 个 字 
符 ， 不 支持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 系 统 未 创建 任何 流行 为 ， 可 用 undo 
traffic behavior behavior-name 命令 删除 指定 的 流 镜 
像 行为 





14.3.2 配置 远程 流 镜像 





mirroring to observe-port 
observe-port-index 
例如 : [HUAWEI- 
behavior-bl] mirroring 








to observe-port 1 


将 满足 规则 的 流 镜像 到 指定 的 观察 端口 。 参 数 
observe-port-index 用 来 指定 观察 端口 索引 号 ,一 定 要 
与 第 2 步 中 指定 的 观察 端口 索引 号 一 致 
缺 省 情况 下 ， 系 统 未 对 任何 报 文 定 义 流 镜 像 动 作 ， 
可 用 undo mirroring 命令 取消 该 流 的 镜像 动作 





( 续 表 ) 


通过 配置 远程 流 镜像 ， 可 以 将 端口 流 经 的 特定 入 方向 报 文 复制 到 远 端 的 监控 设备 进行 分 析 和 监控 。 同 





样 它 可 分 二 层 远程 流 镜像 和 三 层 远 程 流 镜像 。 在 配置 远程 流 镜像 之 前 ， 需 要 确保 观察 端口 所 在 设备 与 监控 





设备 之 间 二 层 或 三 层 网 络 互通 。 


























远程 流 镜像 的 配置 任务 与 上 节 介 绍 的 本 地 流 镜 像 配置 任务 一 样 ， 只 是 具体 的 配置 步 


具体 如 表 14-4 所 示 。 





配置 远程 
镜像 观察 
端口 


f 






配置 





表 14-4 远程 流 镜像 配置 步 又 


命令 






system-view 


例如 : <HUAWEI> system-view 
observe-port observe-port-index 
interface interface-type interface- 


number vlan vian-id 


例如 : [HUAWEI] observe-port 2 
nterface GigabitEthernet 2/0/0 vlan 10 
observe-port [ observe-port-index ] 
interface interface-fype interface- 

number destination-ip dest-ip-address 
source-ip source-ip-address [ dscp 


dscp-value | vlan vian-id ] > 


例如 : [HUAWEI]observe-port 2 
interface gigabitethernet 1/0/1 
destination-ip 1.1.1.1 source-ip 2222 














进入 系统 视图 


(可 选 ) 配置 二 层 远程 流 镜像 观察 端 
口 。 其 他 说 明 参 见 14.2.2 节 表 14-2 中 
的 第 2 步 对 应 命令 参数 说 明 





〈 可 选 ) 配置 三 层 远程 流 镜 像 观察 端 
口 。 其 他 说 明 参 见 表 14-2 中 的 第 2 步 
对 应 命令 参数 说 明 





义 一 个 流 分 类 


根据 本 书 第 11 章 11.4.1 节 的 介绍 , 选择 适合 的 流 分 类 方式 对 需要 监控 的 报 文 定 








traffic behavior behavior-name 
例如 : [HUAWEI] traffic behavior bl 


创建 流 镜像 行为 , 并 进入 流 镜像 行为 视图 。 
其 他 说 明 参 见 上 节 表 14-3 中 的 第 4 步 说 明 





又 有 些 不 同 而 已 ， 








流 分 类 | 3 
4 

配置 
流行 为 | 。 





mirroring to observe-port observe- 


port-index 


例如 : [HUAWEI-behavior-b1] 


mirroring to observe-port 1 


将 满足 规则 的 流 镜 像 到 指定 的 观察 端口 。 
其 他 说 明 参 见 上 节 表 14-3 中 的 第 5 步 说 明 











( 续 表 ) 


























14.3.3 本 地 流 镜像 配置 示例 











如 图 14-11 所 示 ，HostA 通 过 GigabitEthernet1/0/1 接 口 
GigabitEthernet1/0/2 接 口上 。 现 | 








3 
LD 





本 示例 最 关键 是 要 根据 802.1p 优 先 级 进行 流 分 类 ， 
的 流 分 类 和 流行 为 进行 关联 ， 然 后 应 用 到 镜像 端口 
(1) 在 SwitchA 上 配置 GigabitEthernet1/0/2 接 口 








<HUAWEI>system-view 


[HUAWEI] sysname SwitchA 





























j 户 希望 通过 监控 设备 Server 对 HostA 发 上 


GE1/0/1 


配置 任务 | 步骤 命令 说 明 
quit 退 中 流行 为 视 返回 系统 视 医 
6 | 例如 [HUAWEI-behavior-b1] quit 退出 流行 为 视图 ， 返 回 系统 视图 
Se 7 traffic policy policy-name 创建 流 镜像 策略 ， 并 进入 流 镜像 策略 视图 。 
配置 流 镜 例如 ; [HUAWEI] traffic policy pl | 其 他 说 明 参 见 上 节 表 14-3 中 的 第 7 步 说 明 
et s/s name behavior | 在 流 镜像 策略 中 关联 前 面 第 3 步 和 第 4 步 
法 全 类 和 流 钳 像 行 头 示人 详 明 参 
8 | 例如 [HUAWELtafficpolicy-pH | 可 汪 二 人 Ee 具 他 说 明基 
classifier cl behavior bl 见 上 节 表 14-3 中 的 第 8 步 说 明 
应 用 流 镜 9 将 关联 了 流行 为 与 流 分 类 的 完整 流 策略 应 用 到 镜像 端口 入 方向 上 ， 具 体 参见 本 
像 策 略 书 第 11 章 11.4.4 区 





GE1/0/2 





HostA 


图 14-1 


SwitchA 





Server 














1 本 地 流 镜像 配置 示例 拓扑 结构 




















[SwitchA] observe-port 1 interface gigabitethernet 1/0/2 





(2) 在 SwitchA 上 创建 流 分 类 cl1， 并 配置 流 分 类 规则 为 匹配 802.1p 优 先 级 为 6 的 报 文 。 





[SwitchAj] traffic classifier c1 
[SwitchA-classifier-c1] if-match 8021p 6 
[SwitchA-classifier-c1] quit 








(3) 在 SwitchA 上 创建 流行 为 b1， 并 





[SwitchA] traffic behaviorb1 
[SwitchA-behavior-b1] mirroring to observe-port 1 
[SwitchA-behavior-b1] quit 

(4) 在 SwitchA 上 创建 流 策略 p1， 将 以 上 定义 的 流 分 类 c1 和 对 应 的 流行 为 bl 进行 关联 ， 然 后 将 创建 的 








流 策略 应 用 镜像 端口 
文 进行 监控 。 





[SwitchA] traffic policy p1 





GigabitEthernet1/0/1 接 








配置 流 镜像 动作 。 





[SwitchA-trafficpolicy-p1] classifier clbehavior b1 


[SwitchA-trafficpolicy-p1] quit 


[SwitchAj] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] traffic-policy pl inbound 
[SwitchA-GigabitEthernet1/0/1] quit 


口 的 入 方向 上 ， 以 实现 对 HostA 发 日 





然后 定义 远程 流 镜像 行为 、 创 建 一 个 
入 方向 上 。 有 具体 配置 如 下 。 
为 观察 端口 。 

















流 


接 入 SwitchA。 监 控 设备 Server 直 连 在 SwitchA 的 
的 802.1p 优 先 级 为 6 的 报 文 进行 监 





策略 ， 将 定义 





8 的 802.1p 优 先 级 为 6 的 报 


[SwitchA] quit 











配置 好 后 ， 可 以 通过 display traffic classifier user-defined 任 意 视图 命令 查看 流 分 类 的 配置 信息 ， 通过 
display traffic policy user-defined 任 意 视 图 命令 查看 流 策略 的 配置 信息 ， 以 验证 配置 结果 。 有 具体 如 下 。 









































<SwitchA>display traffic classifier user-defined c1 
User Defined Classifier Information: 
Classifier: cl 
Precedence: 10 
Operator: OR ”#--- 显 示 流 分 类 工作 模式 为 OR (或 ) 模式 
Rule(s) : if-match 8021p 6 #--- 显 示 分 类 规则 为 匹配 802.1p 优 先 级 为 6 的 报 文 
<SwitchA>display traffic policy user-defined p1 





User Defined Traffic Policy Information: 
Policy: pl 
Classifier: cl 
Operator: OR ”#--- 显 示 流 策略 工作 模式 为 OR (或) 模式 
Behavior: bl 











Mirroring to observe-port 1 #---- 显 示 流 行为 为 镜像 流量 到 索引 号 为 1 的 观察 端口 























14.4 VLAN 镜 像 配 置 与 管理 





























通过 VLAN 镜像 可 将 指定 VLAN 内 所 有 活动 接口 的 入 方向 报 文 镜像 到 观察 端 














a 











户 可 以 对 某 个 


VLAN 或 者 某 些 VLAN 内 的 报 文 进行 监控 。 同 样 它 也 分 本 地 VLAN 镜 像 和 远程 VLAN 镜像 ， 但 是 因为 VLAN 
镜像 仅 是 二 层 网 络 中 的 镜像 动作 ， 所 以 只 有 二 层 网 络 远 程 VLAN 镜 像 ， 没 有 三 层 远 程 VYLAN 镜 像 。 也 正如 




















此 ， 仅 S2700/3700/5700/6700 系 列 交换 机 支持 VLAN 镜 像 ，S7700/9300/9300E/9700 系 列 路 


配置 好 后 ， 可 通过 display observe-port 任 意 视 图 命令 查看 镜像 的 观察 端口 ; 
意 视 图 命令 查看 镜像 的 配置 信息 。 
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14.4.1 配置 本 地 VLAN 镜 像 







































































交换 机 不 支持 











过 display port-mirroring 任 


通过 配置 本 地 VLAN 镜像 ， 可 以 将 某 些 VLAN 中 所 有 活动 接口 的 入 方向 报 文 复制 到 本 地 的 监控 设备 进 


了 分 析 和 监控 。 本 地 VLAN 镜 像 的 配置 很 简单 ， 仅 以 下 两 项 配置 任务 〈 当 不 再 需要 对 报 文 进行 监控 时 建议 取 




















消 镜像 配置 ， 以 减少 系统 开销 ) 。 
(1) 配置 本 地 观察 端口 
本 地 VLAN 镜 像 中 ， 监 控 设备 与 观察 端口 直接 相连 。 
(2) 配置 VLAN 镜 像 
指定 要 监控 的 VLAN， 将 VLAN 中 所 有 活动 接口 上 入 方向 的 三 层 报 文 镜像 到 观察 端 


以 上 两 项 本 地 VLAN 镜 像 配 置 任务 的 具体 配置 如 表 14-5 所 示 。 





































































































表 14-5 本 地 VLAN 镜 像 配 置 步 又 


| 





配置 任务 











公共 system-view 
配置 步骤 例如 : <HUAWEL> system-view 
observe-port observe-port-index 
interface interface-type interface- 


进入 系统 视图 















配置 本 地 观 | ，。 | mper 配置 本 地 观察 端口 。 其 他 说 明 参 见 14.2.1 
察 端口 , 节 表 14-1 中 的 第 2 步 说 明 


例如 : [HUAWEI] observe-port 1 
interface GigabitEthemet 2/0/0 











( 续 表 ) 





命令 说 明 





vlan vlan-id 


例如 [HUAWEI] vlan 10 键入 要 被 监控 的 VLAN， 进 入 VLAN 视图 





配置 基于 VLAN 的 镜像 动作 。 参 数 
配置 mirroring to observe-port observe-port-index 用 来 指定 被 镜像 到 的 


VLAN 镜像 observe-port-index inbound 观察 端口 号 , 要 与 第 2 步 所 指定 的 索引 号 
例如 : [HUAWEI-vlan10] - 致 

mirroring to observe-port 2 缺 省 情况 下 ， 没 有 配置 基于 VLAN 的 镜像 
inbound 动作 ， 可 用 undo mirroring 命令 取消 基于 
该 VLAN 的 镜像 动作 














14.4.2 配置 远程 VLAN 镜 像 











通过 配置 远程 VLAN 镜像 ， 可 以 对 某 些 VLAN 中 所 有 活动 接口 的 入 方向 报 文 复制 到 远程 监控 设备 进 
行 分 析 和 监控 。 在 配置 远程 VLAN 镜 像 之 前 ， 需 要 确保 观察 端口 所 在 设备 与 监控 设备 之 间 二 层 网 络 互通 。 
远程 VLAN 镜 像 的 配置 也 很 简单 ， 也 就 以 下 两 项 配置 任务 。 
(1) 配置 远程 观察 端口 
远程 镜像 中 ， 监 控 设 备 与 观察 端口 所 在 设备 之 间 跨 越 二 层 网 络 相 连 。 设 备 将 镜像 报 文 封装 VLAN， 然 后 
通过 观察 端口 在 远程 镜像 VLAN 中 广播 ， 将 报 文 转发 至 监控 设备 。 
(2) 配置 YLAN 镜 像 
指定 要 监控 的 VLAN。 
以 上 两 项 配置 任务 的 具体 配置 步 又 如 表 14-6 所 示 。 

























































































表 14-6 远程 VLAN 镜 像 配 置 步 又 


公共 配置 System-view 
井 入 系统 视图 
步骤 例如 : <HUAWEI> system-view 进入 系统 视图 





observe-port observe-port-index 
interface interface-type interface- 
配置 远程 number vlan vian-id 

观察 端口 例如 : [HUAWEI] observe-port 1 
interface GigabitEthernet 2/0/0 
vlan 10 


配置 远程 观察 端口 并 指定 远程 镜像 VLAN。 
其 他 说 明 参 见 14.2.2 节 表 14-2 中 的 第 2 步 
对 应 命令 参数 说 明 





vlan vian-id 


例如 : [HUAWEI] vlan 10 键入 要 被 监控 的 VLAN， 进 入 VLAN 视图 





配置 mirroring to observe-port observe 


VLAN 镜 像 Ce inbound 配置 基 
例如 : [HUAWEI-vlan10] 见 上 


mirroring to observe-port 


:于 VLAN 的 镜像 动作 。 其 他 说 明 参 
节 表 14-5 中 的 第 4 步 











2inbound 


14.4.3 本 地 VLAN 镜 像 配置 示例 











心 | 


本 示例 拓扑 结构 如 图 14-12 所 示 ，HostA 和 HostB 通过 GigabitEthernet0/0/1 与 GigabitEthemet0/0/2 接 口 
接 入 SwitchA，HostA 和 HostB 同 属于 VLAN10。 监 控 设 备 Server 直 连 在 SwitchA 的 GigabitEthernet0/0/3 接口 
上 。 现 用 户 希 望 通过 监控 设备 Server 对 VLAN10 的 所 有 活动 接口 的 入 流量 进行 监控 。 



























































HostA 











GE0/0/1 
GEO0/0/2 


GEO/0/3 
: Server 


SwitchA 


HostB | 





图 14-12 本 地 VLAN 镜 像 配置 示例 拓扑 结构 


































































































根据 14.4.1 节 介 绍 的 配置 方法 可 以 很 容易 得 出 本 示例 具体 配置 步骤 。 但 在 此 之 前 要 先 配置 好 各 接口 类 
型 和 所 属 VLAN。 
(1) 配置 接口 类 型 及 所 属 VLAN。 


<Switch>system-view 









































[Switch] sysname SwitchA 
[SwitchA] vlan 10 
[SwitchA-vlan10] guit 
[SwitchAj] interface gigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type access 
[SwitchA-GigabitEthernet0/0/1] port default vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 
[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type access 
[SwitchA-GigabitEthernet0/0/2] port default vlan 10 
[SwitchA-GigabitEthernet0/0/2] quit 
(2) 配置 GigabitEthemet0/0/3 接 口 为 观察 端口 。 
[SwitchA] observe-port 1 interfacegigabitethernet 0/0/3 
(3) 配置 监控 VLAN10 中 所 有 活动 接口 入 方向 报 文 。 
[SwitchA] vlan 10 
[SwitchA-vlan10] mirroring to observe-portl inbound 
[SwitchA-vlan10] guit 
配置 好 后 可 通过 display port-mirroring 任 意 视图 命令 查看 VLAN 镜 像 的 配置 情况 ， 以 验证 配置 结果 。 具 体 
如 下 。 


<SwitchA>display port-mirroring 
























































































































































Vlan-mirror: 


Mirror-vlan Direction Observe-port 


10 Inbound GigabitEthernet0/0/3 


14.5 MAC 地 址 镜像 配置 与 管理 











MAC 地 址 镜像 〈 即 基于 MAC 地 址 的 镜像 ) 是 将 匹配 源 或 目的 MAC 地 址 的 入 方向 报 文 镜像 到 观察 端 
口 ， 提 供 了 一 种 更 加 精确 的 镜像 方式 ， 用 户 可 以 对 网 络 中 特定 设备 的 报 文 进行 监控 。 它 也 有 本 地 MAC 地 址 
镜像 和 远程 MAC 地 址 镜像 两 大 类 。 同 样 因为 它 是 基于 二 层 报 文 的 报 文 镜像 ， 所 以 在 远程 MAC 地 址 镜像 
中 也 仅 有 二 层 远程 MAC 地 址 镜像 这 一 种 。 但 MAC 地 址 镜像 也 仅 S2700/3700/5700/6700 系列 交换 机 支 
持 ，S7700/9300/9300E/9700 系 列 不 支持 。 

配置 好 后 ， 可 用 display observe-port 命 令 查看 镜像 的 观察 端 
的 配置 信息 。 




































































加 





jdisplay port-mirroring 命 令 查看 镜像 








pes 


; 器 











14.5.1 配置 本 地 MAC 地 址 镜像 











通过 配置 本 地 MAC 地 址 镜像 ， 可 以 将 指定 源 或 目的 MAC 地 址 的 报 文 复制 到 本 地 的 监控 设备 进行 分 析 
和 监控 。 其 配置 方法 也 很 简单 ， 仅 需 以 下 两 项 配置 任务 。 
(1) 配置 本 地 观察 端口 
在 本 地 镜像 中 ， 监 控 设 备 与 观察 端口 直接 相连 。 
(2) 配置 MAC 地 址 镜像 
指定 用 于 匹配 报 文 的 源 MAC 地 址 或 目的 MAC 地 址 ， 将 符合 条 件 的 入 方向 的 二 层 报 文 镜像 到 观察 端口 。 
以 上 两 项 配置 任务 的 具体 配置 步骤 如 表 14-7 所 示 。 






























































表 14-7 本 地 MAC 地 址 镜像 配置 步骤 


公共 system-view 

< 韭 入 系统 视图 
配置 步骤 例如 : <HUAWEI> system-view 进入 系统 视图 
observe-port observe-port-index 
配置 本 地 ee interface-type interface- 

number 
例如 : [HUAWEI] observe-port 1 
interface GigabitEthernet 2/0/0 
vlan vlan-id 键入 要 被 监控 报 文 所 在 的 VLAN， 进 入 
例如 : [HUAWEI] vlan 10 VLAN 视图 
配置 基于 MAC 地 址 的 镜像 。 命 令 中 的 参数 
说 明 如 下 。 
(1) mac-address: 指定 用 于 匹配 报 文 的 源 
洲 MAC 地 址 或 者 目的 MAC 地 址 (可 匹配 源 
i mac-mirroring mac-address to MAC 地 址 或 目的 MAC 地 址 中 的 任意 一 个 
配置 MAC observe-port observe-port-index MAC 地 址 ) 
地 址 镜像 inbound 了 G7 > 

S a (2) observe-port-index: 指定 被 镜像 到 的 

例如 : [HUAWEI-vlan10] 观察 端口 号 ， 要 与 第 2 步 所 指定 的 索引 号 
mac-mirroring 1111-2222-3333 先 傣 吴 了 ， 回 可 风 2 风 及 指 定 肝 芝 91 
to observe-port 1 inbound 至 























配置 本 地 观察 端口 。 其 他 说 明 参 见 14.2.1 节 


观察 端口 表 14-1 中 的 第 2 步 说 明 











缺 省 情况 下 ， 系 统 未 配置 MAC 地 址 镜像 ， 
可 用 undo mac-mirroring mac-address [ to 
observe-port observe-port-index ] inbound 命 
令 删 除 MAC 地 址 镜像 














14.5.2 配置 远程 MAC 地 址 镜像 











通过 配置 远程 MAC 地 址 镜像 ， 可 以 将 指定 源 或 目的 MAC 地 址 的 报 文 复制 到 远程 的 监控 设备 进行 分 析 和 
监控 。 远 程 MAC 地 址 镜像 只 有 二 层 远 程 MAC 地 址 镜像 ， 在 配置 二 层 远程 MAC 地 址 镜像 之 前 ， 需 要 确保 观 
察 端口 所 在 设备 与 监控 设备 之 间 二 层 网 络 互通 。 
























































TF 























远程 MAC 地 址 镜像 的 配置 任务 与 上 节 介 绍 的 本 地 MAC 地 址 镜像 的 配置 任务 一 样 ， 具 体 配置 步骤 如 表 
14-8 所 示 。 























表 14-8 本 地 MAC 地 址 镜像 配置 步骤 














































配置 任务 | 步骤 命令 说 明 
公共 system-view 
) 间 入 系统 视 攻 
配置 步骤 例如 : <HUAWEI> system-view 进入 系统 视图 
observe-port observe-port-index 
配置 远程 interface pre10ce 人 pe inteface- | 配置 远程 观察 端口 。 其 他 说 明 参 见 14.2.2 


iD 


number vlan vlan-id 
例如 : [HUAWEI] observe-port 1 
interface GigabitEthernet 2/0/0 


观察 端口 节 表 14-2 中 的 第 2 步 对 应 命令 参数 说 明 





vlan vlan-id 
例如 :， [HUAWEI] vlan 10 
配置 mac-mirroring mac-address to 
已 置 MAC serve-port-index NR a Ne 
地 址 镜像 observe-port observe-portindex | 配置 基于 MAC 地 址 的 镜像 动作 。 其 他 说 明 
参见 节 表 14-7 中 的 第 4 步 对 应 命令 
例如 ; [HUAWEI-vlan10] 人 入 表 14-7 中 的 第 4 步 对 应 命令 
mac-mirroring 1111-2222-3333 | > 说 明 
to observe-port 1 inbound 


键入 要 被 监控 的 VLAN， 进 入 VLAN 视图 





























14.5.3 本 地 MAC 地 址 镜像 配置 示例 














如 图 14-13 所 示 ，HostA 和 HostB 通 过 GigabitEthernet0/0/1 与 GigabitEthernet0/0/2 接 口 接 入 SwitchA，HostA 
和 HostB 同 属于 VLAN10。 监 控 设 备 Server 直 连 在 SwitchA 的 GigabitEthernet0/0/3 接口 上 。 现 用 户 希 望 对 
VLAN10 中 源 或 目的 MAC 地址 为 0001-0001-0001 的 入 方向 流量 进行 监控 。 











HostA 









GEO/0/1 


GE0/0/2 Server 





SwitchA 
HostB 


图 14-13 本 地 MAC 地 址 镜像 配置 示例 拓扑 结构 














本 地 MAC 地 址 镜像 的 配置 很 简单 ， 本 示例 中 只 需 配 置 SwitchA 的 GigabitEthernet0/0/3 接 口 为 观察 端 
口 ， 使 直 连 的 监控 设备 Server 能 够 接收 到 镜像 报 文 。 然 后 在 VLAN10 视图 下 配置 基于 MAC 地 址 的 镜像 动作 
即 可 。 有 具体 配置 步骤 如 下 。 
(1) 配置 各 接口 类 型 和 所 属 VLAN。 


<Switch>system-view 























[Switch] sysname SwitchA 

[SwitchA] vlan 10 

[SwitchA-vlan10] guit 

[SwitchA] interfacegigabitethernet 0/0/1 
[SwitchA-GigabitEthernet0/0/1] port link-type access 
[SwitchA-GigabitEthernet0/0/1] port default vlan 10 
[SwitchA-GigabitEthernet0/0/1] quit 

[SwitchA] interface gigabitethernet 0/0/2 
[SwitchA-GigabitEthernet0/0/2] port link-type access 


[SwitchA-GigabitEthernet0/0/2] port default vlan 10 


[Switc 
(2) 
[Switc 
(3) 


[Switc 


[SwitchA-vlan10] mac-mirroring 0001-0001-0001 to observe-port 1 inbound 


[Switc 





hA-GigabitEthernet0/0/2] quit 









































配置 基于 MAC 地 址 的 镜像 动作 。 
hA] vlan 10 

















hA-vlan10] guit 









































配置 好 后 ， 可 以 通过 display port-mirroring 任 意 视 图 命令 查看 MAC 地 址 镜像 的 本 



































配置 GigabitEthemet0/0/3 接 口 为 观察 端口 。 
hA] observe-port 1 interface gigabitethernet 0/0/3 








Observe-port 


【 体 如 下 。 
[SwitchA] display port-mirroring 
Mac-mirror: 
Mirror-mac Vlan Direction 
0001-0001-0001 10 Inbound 








b 




















置 情况 ， 以 验证 配置 






































15.1 MAC 地 址 表 权 


第 15 童 ”基于 MAC 地 址 的 安全 配置 与 管理 








既 述 














15.2 MAC 地 址 表 配 置 与 管理 












































15.3 端口 安全 配置 与 管理 














15.4 其 他 基于 MAC 地 址 的 安全 功能 配置 
MAC 地 址 是 网 络 设备 中 不 变 的 物理 
多 数 情 况 下 最 有 效 的 控 人 
来 进行 寻 址 的 ， 这 时 如 果 控 制 交换 机 




















能 与 它 进 行 通信 。 














在 华为 5 系列 交换 机 中 ， 为 了 实 ] 

































































MAC 地 址 表 项 的 数量 ， 








限制 交换 机 中 MAC 
全 功能 (包括 安全 动态 MAC 地 址 和 Sticky MAC 地 址 ) 












































地 址 ， 所 以 基于 MAC 地 址 的 接 入 控制 就 成 了 最 直接 ， 甚 至 可 能 是 大 
捉 手 段 。 我 们 知道 ， 在 二 层 交 换 网 络 中 ， 是 通过 依靠 保存 在 交换 机 中 的 MAC 地 址 表 
存储 的 MAC 地 址 表 就 可 以 控制 一 些 非法 设备 的 接 入 ， 让 其 他 设备 不 





























岗 这 个 目的 提供 了 多 种 基于 MAC 地 址 的 安全 手段 ， 如 限制 接口 学 习 
地 址 表 项 的 总 数 ， 关 闭 端 口 的 MAC 地 址 学 习 功 能 ， 使 能 端口 安 

















、MAC 地 址 防 漂移 、MAC 地 址 漂移 检测 、MAC- 





spoofing-defend、 丢 弃 源 MAC 地 址 为 全 0 或 全 1 的 报 文 和 端口 桥 功 能 《丢弃 源 MAC 地 址 和 目的 MAC 地 址 均 在 
设备 的 同一 端口 上 学 习 到 的 报 文 ) 等 。 








本 章 将 全 面 介绍 以 上 几 种 4 












































15.1 MAC 地 址 表 概 述 





述 








为 S 系 列 交 换 机 中 才 



































起 于 MAC 地 址 的 安全 特性 原理 和 具体 的 配置 方法 。 但 这 
些 安全 特性 更 适用 于 小 型 网 络 ， 或 者 对 一 些 特定 的 非法 用 户 进行 控制 ， 在 大 型 网 络 中 更 多 的 是 采用 本 书后 
而 将 要 介绍 的 AAA 控 制 方案 和 802.1x 认 证 、MAC 地 址 认证 和 Portal 认 证 方式 。 






























































MAC 地 址 表 记 录 了 与 交换 机 相连 的 设备 的 MAC 地 址 、 接 口号 以 及 所 属 的 VLAN ID 的 对 应 关系 ， 也 就 是 


























说 明 


MAC 地 址 表 与 ARP 表 是 不 同 的 ，ARP 








通常 所 说 的 CAM (Content Addressable Memory， 内 容 可 寻 址 内 存 ) 表 。 在 转发 数据 时 ， 设 备 根据 报 文中 的 
































目的 MAC 地 址 查询 MAC 地 址 表 ， 快 速 定位 出 接口 ， 从 而 减少 广播 。 








描述 的 是 IP 地 址 与 MAC 地 址 的 对 应 关系 ， 用 来 通过 IP 地 址 解 






































析 MAC 地 址 的 ， 在 局 域 网 内 部 最 终 义 是 通过 MAC 地 址 表 查 找 对 应 的 出 接口 ， 进 行 数据 帧 转发 的 。 


15.1.1 MAC 地 址 表 项 






































MAC 地 址 表 中 的 一 个 个 映射 项 就 是 MAC 地 址 表 项 ， 但 它们 有 几 种 形成 方式 ， 对 应 就 形成 了 几 种 MAC 





地 址 表 项 类 型 和 老化 方式 。 下 面 分 别 予 以 介绍 。 


1. MAC 地 址 表 的 分 类 














MAC 地 址 表 项 分 为 动态 表 项 、 静 态 表 项 和 黑洞 表 项 。 
动态 表 项 由 接口 通过 对 报 文中 的 源 MAC 地 址 学 习 方式 动态 获得 的 ， 这 类 MAC 地 址 表 项 有 老化 时 间 。 静 
态 MAC 地 址 表 项 则 是 由 用 户 手 工 配 置 












































黑洞 MAC 地 址 表 














的 ， 这 类 MAC+ 











的 数据 帧 。 为 防止 无 | 




















E 弃 。 黑 洞 MACH 


MAC 地 址 表 项 占 
网 络 ， 可 将 非 信 任用 户 的 MAC 地 电 
地 址 的 报 文 时 ， 直 接 丢 








止 配置 为 黑洞 MACH 

















也 址 表 项 不 会 被 老化 。 








项 是 一 种 特殊 的 静态 MAC 地 址 表 项 ， 用 于 丢弃 含有 特定 源 MAC 地 址 或 目的 MAC 地 址 
MAC 地 址 表 ， 同 时 为 了 防止 黑客 通过 MAC 地 址 攻击 用 户 设备 或 




















也 址 ， 当 设备 收 到 目的 MAC 或 源 MAC 地 址 为 黑洞 MAC 

















也 址 表 项 也 是 


EY 








] 户 手工 配置 的 ， 这 类 MAC 地 址 表 项 也 不 会 被 老化 。 


























会 丢失 。 
2. MAC 地 址 表 项 的 生成 方式 














通过 对 前 面 MAC 地 址 表 项 的 类 型 介绍 可 以 知道 ，MAC 地 址 表 项 有 两 利 











动 生成 方式 和 手工 配置 方式 。 
(1) 自动 生成 的 MAC 地 址 表 项 





















































h 生 成 方式 : 动态 学 习 方 式 下 的 自 


在 系统 复位 后 ， 动 态 MAC 地 址 表 项 会 丢失 ， 而 保存 的 静态 MAC 地 址 表 项 和 黑洞 MAC 地 址 表 项 都 不 





一 般 情况 下 ，MAC 地 址 表 项 是 由 设备 通过 对 报 文 中 源 MAC 地 址 的 学 习 而 自动 建立 的 。 例 如 ， 当 与 
SwitchA 连 接 的 SwitchB 向 SwitchA 发 送 数 据 时 ，SwitchA 从 数据 帧 中 解析 出 源 MAC 地 址 ( 即 SwitchB 的 MAC 





地 址 ) ， 连 同 接口 号 添加 到 MAC 地 址 表 中 。 以 后 SwitchA 接 收 到 发 送 给 SwitchB 的 数 志 


可 以 得 到 正确 的 发 送 接口 。 





为 适应 网 络 的 变化 ，MAC 地 址 表 项 需要 不 断 更 新 。MAC 地 址 表 项 中 自动 4 
一 条 表 项 都 有 一 个 生存 周期 (也 就 是 通常 所 说 的 “老化 时 间 ”) ， 到 达 生 存 周期 





























除 。 如 果 在 到 达 生 存 周期 前 记录 被 刷新 ， 则 该 表 项 的 老化 时 间 重 新 计算 。 





(2) 手工 配置 的 MAC 地 址 表 项 
设备 在 通过 报 文中 源 MAC 地 址 





文 ， 带 来 了 安全 隐患 。 如 果 黑 客 用 户 将 攻击 
其 他 接口 进入 ， 设 备 就 会 学 习 到 错误 的 MAC 地 址 表 项 ， 于 是 就 会 将 





























用 户 











学 习 而 自动 建立 MAC 地 址 表 项 时 无 法 区 分 合法 用 户 和 黑客 
及 文 的 源 MAC 地 址 伪装 成 合法 用 户 的 MAC 地 址 ， 并 从 设备 的 

































































3. 基于 MAC 地 址 表 的 报 文 转发 





设备 在 转发 报 文 时 ， 根 据 MAC 地 址 表 项 信 ， 


为 了 提高 接口 安全 性 ， 网 络 管理 员 可 手工 在 MAC 地 址 表 中 加 入 
MAC 地 址 与 所 连接 的 设备 接口 绑 定 ， 从 而 防止 假冒 身份 的 非法 
址 表 项 ， 可 以 限制 指定 用 户 的 流量 不 能 从 设备 通过 ， 防 止 非法 用 户 的 攻击 。 
手工 配置 的 MAC 表 项 优先 级 高 于 自动 生成 的 表 项 。 





届 ， 通 过 查询 MAC 表 就 


成 的 表 项 并 非 永久 有 效 ， 每 
仍 得 不 到 刷新 的 表 项 将 被 删 



































] 户 的 报 





本 应 转发 给 合法 用 户 的 报 文 转发 给 黑客 

















静态 MAC 地 址 表 项 ， 相 当 卫 





































































































息 ， 会 采取 以 下 两 种 转发 方式 。 





F 将 用 户 





j 户 骗取 数据 。 通 过 手工 配置 黑洞 MAC 地 


(1) 单 播 转发 ， 当 MAC 地 址 表 中 包含 与 报 文 目 的 MAC 地 址 对 应 的 表 项 时 ， 设 备 直接 将 报 文 从 该 表 














项 中 的 转发 出 接口 发 送 。 











(2) 广播 转发 : 当 设备 收 到 的 
报 文 (目的 MAC 地 址 为 组 播 MAC 地 址 ) 或 MAC 地 址 表 中 没有 包含 对 应 报 文 























报 文 为 广播 报 文 〈 目 的 MAC 地 二 




















将 采取 广播 方式 将 报 文 向 除 接收 接 








外 同一 VLAN 内 的 所 有 接口 转发 








15.1.2 MAC 地 址 表 特 性 及 产品 支持 











此 为 广播 MAC 地 址 ffff-ffff-ff 





o 


华为 S$ 系列 交换 机 的 MAC 地 址 表 特 性 主要 包括 MAC 地 址 表 基 本 功能 和 MAC 地 址 表 扩 展 功能 


提高 设备 的 安全 性 ， 控 制 MAC 表 的 规模 。MAC 地 址 表 基 本 功能 




















15-2 所 示 。 除 非特 殊 说 明 ， 所 有 S 系 列 交 换 机 均 支 持 这 些 功 能 。 当 然 ， 




















配置 ， 这 些 都 是 可 根据 实际 需求 选择 配置 的 特性 。 





表 15-1 MAC 地 址 表 基 本 功能 





ff) 、 组 播 


目的 MAC 地 址 的 表 项 时 ， 设 备 


部 分 ,来 


上 表 15-1 所 示 ，MAC 地 址 表 扩 展 功能 如 表 


























在 实际 应 用 





， 并 不 要 求 每 项 功能 都 


静态 MAC 地 址 表 项 


将 一 些 国定 的 上 行 设备 或 信任 用 户 的 MAC 地 址 配置 为 静态 MAC 
表 项 ， 可 以 保证 其 安全 通信 





黑洞 MAC 地 址 表 项 


可 以 防止 黑客 通过 MAC 地 址 攻击 网 络 





动态 MAC 地 址 表 项 老化 时 间 


合理 配置 动态 MAC 表 项 的 老化 时 间 ， 可 以 防止 MAC 地 址 表 项 爆 


炸 式 增长 





禁止 MAC 地 址 学 习 功 能 


适用 于 网 络 环 境 固 定 的 场景 或 已 经 明确 了 转发 路 径 的 场景 。 可 以 限 
制 非 信 任用 户 接 入 ， 防 止 MAC 地 址 攻击 ， 提 高 网 络 安全 性 。 
S2700S1/27010SI 系列 不 支持 





限制 MAC 地 址 学 习 数 量 








在 安全 性 比较 差 的 网 络 中 ， 可 用 于 防止 变换 MAC 地 址 攻击 


表 15-2 MAC 地 址 表 扩 展 功 能 





MAC-spoofing-defend 功能 


功能 


在 安全 性 要 求 较 高 的 网 络 中 ,在 端口 上 配置 端口 安全 功能 ， 可 阻止 
其 他 非 信任 的 主机 通过 本 端口 与 设备 通信 ， 增 强 设备 安全 性 。 
S2700SI27010SI2700EI 系列 不 支持 

配置 该 功能 后 ， 一 个 端口 学 习 到 的 MAC 地 址 在 本 设备 其 他 端口 上 
将 不 再 学 习 ， 可 以 防止 某 些 非法 用 户 仿冒 MAC 地 址 来 发 送 报 文 。 
SS700HIS710EI700/9300/9300E/9700 系列 不 支持 


说 明 





MAC 地 址 防 漂移 


MAC 地 址 漂移 检测 功能 


丢弃 全 堆 MAC 地 址 报 文 


MAC 地 址 刷新 ARP 功能 


对 于 固定 的 上 行 设备 或 服务 器 ， 通 过 提高 端口 的 优先 级 ， 可 防止 伪 
造 MAC 地 址 攻击 ,S2700/3700/6700 系列 不 支持 , 在 S5700 系列 中 ， 
也 仅 S5700HI 和 S5710EI 支持 

配置 MAC 地 址 漂移 检测 功能 可 减少 网 络 环 路 对 本 设备 的 影响 。 
S2700S1/27010S1/2700EI 系列 不 支持 

网 络 中 的 一 些 主机 或 设备 发 生 故 障 时 ， 会 向 交换 机 发 送 源 MAC 地 
址 或 目的 MAC 地 址 为 全 零 的 报 文 ， 配 置 该 功能 可 丢弃 这 些 全 零 报 
文 并 上 报告 警 ， 管 理 员 可 根据 告警 信息 来 定位 故障 设备 。 
S2700SI/27010SI 系列 不 支持 

配置 MAC 地 址 刷新 ARP 功能 后 ， 如 果 MAC 地 址 表 项 的 出 接口 
发 生变 化 ， 会 及 时 更 新 ARP 表 项 。S2700SI27010SI/2700EI 系列 
不 支持 





端口 桥 功能 


配置 端口 桥 功 能 后 ， 端 口 将 处 理 相同 源 MAC 地 址 和 相同 目的 
MAC 地 址 的 报 文 , 适用 于 交换 机 下 挂 无 二 层 转 发 能 力 的 设备 , 或 
交换 机 作为 数据 中 心 的 接 入 设备 的 网 络 场景 。S2700SI/27010SL 
2700EI 系列 不 支持 





表 15-1 和 表 15-2 列 举 的 MAC 地 址 表 特 性 在 支持 的 S 系 列 交 换 机 中 都 有 对 应 的 参数 缺 省 配置 ， 如 表 15-3 所 





表 15-3 MAC 地 址 表 特 性 参数 缺 省 值 


动态 MAC 地 址 表 项 的 老化 时 间 300s 
MAC 地 址 学 习 功 能 Enable 
接口 学 习 MAC 地 址 的 优先 级 0 
端口 安全 功能 Disabled 
端口 安全 MAC 地 址 学 习 限 制 数 1 
端口 安全 功能 的 保护 动作 Restrict 
MAC 地 址 漂移 表 项 的 老化 时 间 300s 
丢弃 全 0 非法 MAC 地 址 报 文 的 功能 Disabled 
设备 收 到 全 0 非法 MAC 地 址 报 文 的 告警 功能 Disabled 
端口 桥 功能 Disabled 
MAC 刷新 ARP 功能 Disabled 





















































15.2 MAC 地 址 表 配 置 与 管理 

















本 节 要 介绍 静态 MAC 地 


去 


址 表 项 、 黑 洞 MAC 地 址 表 项 、 动 态 MAC 地 址 表 项 、 禁 止 MAC 地 址 学 习 功 能 和 


限制 MAC 地 址 学 习 数 量 的 具体 配置 方法 。 





























15.2.1 配置 三 种 MAC 地 址 表 项 








为 了 防止 一 些 关 键 设备 〈 如 各 种 服务 器 或 上 行 设 备 ) 被 非法 用 户 恶 意 


设 的 MAC 地 址 配置 为 静态 MAC 地 址 表 项 ， 
修改 。 

为 了 防止 无 用 MAC 地 ] 
络 ， 可 将 那些 有 着 恶意 
地 址 为 这 些 黑 
址 表 项 。 

为 了 减轻 手工 配置 静态 MAC 地 址 表 项 ， 























表 中 的 废弃 MAC 地 址 表 项 。 
繁 的 环境 ; 老化 时 间 越 长 ， 越 适合 

以 上 静态 MAC 地 址 表 项 、 
表 15-4 所 示 。 





址 表 项 占用 MAC 地 址 表 ， 同 时 为 了 防止 黑 
历史 的 非 信 任 MAC 地 址 配置 为 黑洞 MAC 地 址 ， 使 设备 在 收 到 目的 MAC 或 源 MAC 
洞 MAC 地 址 的 报 文 时 ， 直 接 予 以 丢弃 ， 不 修改 原 有 的 MAC 地 址 表 项 ， 也 不 增加 新 的 MAC 地 


华为 系列 交换 机 
但 为 了 避免 MAC 地 址 表 项 爆炸 式 增长 ， 可 合理 配置 动态 MAC 表 项 的 老化 时 间 ， 
老化 时 间 越 短 ， 交 换 机 对 周边 的 网 络 变化 越 敏感 ， 

在 网 络 拓扑 比较 稳定 的 环境 。 
黑洞 MAC 地 址 表 项 、 


E33 








动态 MAC 地 址 表 项 这 三 











窜 通 过 MAC 地 址 攻 喇 


表 15-4 MAC 地 址 表 项 配置 步骤 


System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





添加 静态 MAC 地 址 表 项 ， 
VLAN ID 进行 绑 定 。 命 令 中 


相当 于 MAC 地 址 与 接口 和 


的 参数 说 明 如 下 。 


i 
注意 


mac-address static mac-address 
interface-type 

interface-number vlan vlan-id 
例如 : [HUAWEI] mac-address 
static 0001-0002-0003 
gigabitethernet 0/0/2 vlan 4 


mac-address blackhole 
mac-address [ vlan vlan-id | vsi 
vsi-name | 

例如 : [HUAWEI]mac-address 
blackhole 0011-0022-0033 vlan 5 


mac-address 

aging-time aging-time 

例如 : [HUAWEI] mac-address 
aging-time 600 

















MAC 地 址 表 











, 满 的 


(1) mac-address: 指 定 要 绑 定 的 MAC 的 地 址 ， 格 式 为 
H-H-H， 其 中 H 为 1 至 4 位 的 十 六 进 制 数 ， 但 不 可 为 广 
播 MAC 地 址 、 组 播 MAC 地 址 和 全 零 MAC 地 址 
指定 要 绑 定 的 出 接口 ， 


(2) interface-type interface-number: 指定 


也 就 是 通过 这 个 接口 可 以 访问 
主机 或 其 他 设备 。 但 该 接口 必 
指定 的 VLAN 中 ， 
(3) vlan-id， 配 置 出 接口 所 属 
了 以 上 接口 所 属 VLAN 的 ID， 


到 以 上 MAC 地 址 所 对 应 的 
须 先 加 入 下 面 由 vian-id 参数 


否则 无 法 成 功 配置 


的 VLAN 编号 ， 相 当 于 指定 
取 值 范围 为 1 一 4 094 的 整数 


静态 MAC 地 址 表 项 的 优先 级 高 于 动态 MAC 地 址 表 项 ， 





如 果 通 过 MAC 地 址 自动 学 


习 功 能 创建 的 MAC 地 址 表 项 





与 原来 的 静态 MAC 地 址 表 项 相 冲突 , 则 该 报 文 会 被 丢弃 
可 用 undo mac-address static mac-address interface-type 
interface-number vlan vlan-id 命令 删除 指定 的 静态 MAC 
地 址 表 项 

添加 黑洞 MAC 地 址 表 项 。 命 令 中 的 参数 说 明 如 下 。 

(1) mac-address: 指定 黑洞 MAC 地 址 表 项 中 的 MAC 
地 址 

(2) wan-id: 二 选 一 可 选 参数 ， 
所 属 VLAN 的 ID， 取 值 ; 
(3) vsi-name: 二 选 
址 所 属 VSI 实例 的 名 
区 分 大 小 写 

可 用 undo mac-address blackhole [ mac-address ] [ vlan 
Vlan-id | vsi vsi-name ] 命 令 删 除 指定 的 黑洞 MAC 地 址 表 项 
配置 动态 MAC 表 项 的 老化 时 间 ， 取 值 范围 是 0 和 10 一 
1000000 的 整数 秒 ，0 表示 动态 MAC 地 址 表 项 不 老化 
缺 省 情况 下 ， 动 态 MAC 表 项 的 老化 时 间 为 300s， 可 用 
undo mac-address aging-time 命令 恢复 动态 MAC 地 址 表 
项 的 老化 时 间 为 缺 省 值 


指定 以 上 黑洞 MAC 地 址 
四 为 1 一 4 094 的 整数 

-可 选 参数 ， 指 定 以 上 黑 
你 ， 为 1 一 31 个 字符 ， 


MAC 地 


























Ey 


日 


修改 其 MAC 地址 表 项 ， 可 将 这 些 
因为 静态 MAC 地 址 表 项 优先 于 动态 MAC 地 址 表 项 ， 不 易 被 非法 











用 户 设备 或 网 





决 省 已 使 能 了 动态 MAC 地 址 表 项 学 习 功能 。 
以 便 及 时 删除 MAC 地 址 
适合 在 网 络 拓扑 变化 比较 频 


种 MAC 地 址 表 项 的 配置 方法 如 


情况 下 ， 继 续 配 置 静态 或 黑洞 MAC 表 ， 则 系统 的 处 理 方 法 如 下 。 











(1) 如 果 MAC 地 址 表 

















时 自动 覆盖 原来 对 应 的 动态 MAC 地 址 表 项 。 




















(2) 如 果 MAC 地 址 表 中 


表 项 。 














在 删除 静态 MAC 地 址 表 项 、 
除 全 部 接口 下 对 应 的 MAC 地 址 表 项 ， 如 果 不 指定 VLAN 参 数 ， 将 
项 。 正 常情 况 下 ， 一 个 MAC 地 址 























不 同 的 表 项 。 


他 接口 上 ， 或 者 





EE 新 划分 了 接口 所 忆 





15.2.2 配置 禁止 MAC 地 址 学 习 功 能 








存在 对 应 MAC 地 址 的 动态 MAC 地 址 表 项 ， 






































则 添加 的 静态 或 





四 洞 MAC 地 址 表 项 


不 存在 对 应 MAC 地 址 的 动态 MAC 地 址 表 项 ， 将 无 法 添加 静态 或 黑洞 MAC 地 址 


动态 MAC 地 址 表 项 和 黑洞 MAC 地 址 表 项 时 ， 如 果 不 指定 接口 参数 ， 将 删 
刚 除 全 部 VLAN 下 对 应 的 MAC 地 址 表 

只 可 能 对 应 一 个 MAC 地 址 表 项 ， 但 有 时 可 能 由 于 所 连接 的 设备 移动 到 其 
VLAN， 则 会 在 交换 机 上 创建 相同 MAC 地 址 ， 但 出 接口 或 所 属 VLAN 











使 能 MAC 地 址 学 习 功 能 时 ， 收 到 来 自 周 边 设 备 的 以 太 网 帧 后 会 从 中 解析 出 源 MAC 地 址 ， 再 结合 接收 该 





以 太 网 帧 的 接口 


播 。 





























如 果 想 提高 网 络 上 


和 该 接口 所 忆 
到 去 往 该 目的 MAC 地 址 的 以 太 网 帧 时 ， 则 直接 查询 MACH 








从 这 些 接 口上 学 习 新 的 MAC 地 址 。 








可 以 在 接口 视图 
定 VLAN 下 所 有 接 























VLAN 的 VLAN ID， 在 MAC 地 址 表 中 添加 新 的 表 项 。 
也 址 表 就 可 以 得 到 正确 的 发 送 接口 ， 可 以 避免 广 





























口 的 MAC 地 址 学 习 功 能 ， 有 具体 的 配置 步骤 如 表 15-5 所 示 。 











表 15-5 禁止 MAC 地 址 学 习 功 能 的 配置 步骤 














步骤 命令 说 明 
system-view ' 
上 入 系统 视 医 
, 例如 : <HUAWEI> system-view 进入 系统 视图 
在 具体 接口 视图 下 配置 
interface interface-type interface- 
number 键入 要 禁止 MAC 地 址 学 习 功 能 的 接口 (必须 是 二 层 接 
= 例如 : [HUAWEI]interface 口 )， 进 入 接口 视图 
gigabitethernet 0/0/2 
在 接口 上 禁止 MAC 地 址 学 习 功 能 ,命令 中 的 选项 说 明 如 下 。 
(1) action discard: 二 选 一 可 选项 ， 指 定 在 收 到 报 文 后 ， 
对 报 文 的 目的 MAC 地 址 进行 匹配 ， 当 与 MAC 地 址 表 中 
mac-address learning disable 某 个 表 项 匹配 时 ， 则 对 该 报 文 进行 转发 ， 否 则 丢弃 该 报 文 
[action { discard | forward } ] | (2) action forward: 二 选 一 可 选项 ， 指 定 在 收 到 报 文 后 ， 
3 例如 : [HUAWEI- 直接 按照 报 文 中 的 目的 MAC 地 址 进行 转发 





GigabitEthernet0/0/2] 
mac-address learning disable 
action discard 





如 果 不 指 定 以 上 关闭 MAC 地 址 学 习 后 的 动作 ， 则 采用 缺 
省 的 forward 动作 ， 但 都 不 会 通过 学 习 报 文中 的 MAC 地 
址 来 生成 新 的 MAC 地 址 表 项 了 

缺 省 情况 下 ， 接 口 的 MAC 地 址 学 习 功 能 是 使 能 的 ， 可 用 
undo mac-address learning disable 命令 打开 MAC 地 址 学 
习 功 能 








这 样 ， 以 后 设备 接 在 收 





的 安全 性 ， 防 止 设备 学 习 到 非法 的 MAC 地 址 ， 错 误 地 修改 MAC 地 址 表 中 的 原 MAC 地 
址 表 项 ， 可 以 选择 关闭 设备 上 指定 接口 或 者 指定 VLAN 中 所 有 接口 的 MAC 地 址 学 习 功 能 ， 这 样 设备 将 不 再 





配置 ， 仅 禁止 指定 接口 的 MAC 地 址 学 习 功 能 ， 也 可 以 在 VLAN 视 图 下 配置 ， 禁 止 指 


( 续 表 ) 


说 明 





E VLAN 视图 下 配置 





vlan vlan-id 
例如 ， [HUAWEI] vlan 5 


(可 选 ) 键入 要 禁止 接口 MAC 地 址 学 习 功 能 的 VLAN， 
进入 VLAN 视图 





15.2.3 





MAC 地 址 学 习 数 量 


mac-address learning disable 
例如 : [HUAWEI-vlan5] 
mac-address learning disable 


岂 | 








(可 选 ) 在 VLAN 中 所 有 接口 上 禁止 MAC 地 址 学 习 功 能 。 
但 在 VLAN 视图 下 不 支持 丢弃 或 转发 动作 的 选择 ， 都 是 
forward 动作 ， 毕 竟 是 针对 VLAN 中 所 有 接口 进行 配置 
的 ， 全 部 丢弃 的 话 影响 太 大 

缺 省 情况 下 ，VLAN 的 MAC 地 址 学 习 功 能 是 使 能 的 ， 可 
用 undo mac-address learning disable 命令 打开 MAC 地 址 
学 习 功 能 





交换 机 上 是 使 用 内 存 来 保存 这 些 MAC 地 址 表 项 的 ， 而 交换 机 的 内 存 容 量 是 有 限 的 ， 
MAC 地 址 给 交换 机 发 送 报 文 时 ， 交 换 机 的 MAC 表 空 间 资 源 就 可 能 被 消耗 尽 ， 这 样 后 面 再 收 到 合法 用 户 的 
报 文 也 无 法 学 习 新 的 源 MAC 地 址 ， 也 不 能 创建 新 的 MAC 地 址 表 项 了 。 
为 了 解决 以 上 问题 ， 可 以 基于 接口 或 者 VLAN 来 限制 对 一 些 频 繁 遭 到 攻击 的 接口 或 者 VLAN 限 制 接口 可 


以 学 习 的 MAC 地 址 数量 ， 当 超过 限 














当 黑 客 伪造 大 量 源 











央 数 量 时 ， 源 MAC 地 址 为 新 MAC 地 址 的 报 文 继续 被 转发 ， 但 是 MAC 地 








址 表 项 不 记录 。 另 外 ， 还 可 以 配置 发 送 告警 动作 ， 上 报 网 管 ， 从 而 防止 MAC 地 址 攻击 ， 提 高 网 络 安全 性 。 








步骤 


有 具体 的 配置 步骤 如 表 15-6 所 示 。 





表 15-6 限制 MAC 地 址 学 习 数 量 的 配置 步骤 





命令 





说 明 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





在 接口 视图 下 配置 





[3] 


interface interface-type interface- 
number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/2 


键入 要 禁止 MAC 地 址 学 习 功 能 的 接口 (必须 是 二 层 接 
口 )， 进 入 接口 视图 





mac-limit maximum max-num 
例如 : [HUAWEI- 
GigabitEthernet0/0/2]mac-limit 
maximum 500 





限制 以 上 接口 的 MAC 地 址 学 习 数 量 , 不 同系 列 交换 机 的 
取 值 范围 不 同 ， 如 S2700 系列 为 0 一 1 024 的 整数 ，S3700 
系列 为 0 一 16 384 的 整数 ，S5700/6700 系列 为 0 一 4 096 
的 整数 , S7700/9300/9300/9700 系列 为 0 一 32 767 的 整数 。 
0 表示 不 限制 MAC 地 址 学 习 数量 






缺 省 情况 下 ， 不 限制 MAC 地 址 学 习 数量 ， 可 用 undo 
mac-limit 命令 取消 配置 MAC 地 址 学 习 限 制 








mac-limit alarm { disable | enable } 
例如 : [HUAWEI- 
GigabitEthemet0/0/2]mac-limit a 
larm enable 





配置 以 上 接口 当 MAC 地 址 数量 达到 限制 后 是 否 进行 告 
警 。 命 令 中 的 选项 说 明 如 下 。 

(1) disable: 二 选 一 选项 ， 指 定 当 MAC 地 址 表 项 数目 达 
到 限制 后 ， 系 统 不 发 送 告警 

(2) enable: 二 选 一 选项 ， 指 定 当 MAC 地 址 表 项 数目 达 
到 限制 后 ， 系 统 发 送 告警 

缺 省 情况 下 , 对 超过 MAC 地 址 学 习 数量 限制 的 报 文 进 
行 告警 , 可 用 undo mac-limit alarm 命令 取消 发 送 告警 
功能 












( 续 表 ) 





步 也 命令 0 说 明 
在 VLAN 视图 下 配置 

vlan vlan-id (可 选 ) 键入 要 配置 接口 MAC 地 址 学 习 功 能 的 VLAN， 
例如 : [HUAWEI] vlan 5 进入 VLAN 视图 
(可 选 ) 限制 以 上 VLAN 中 的 MAC 地 址 学 习 数 量 。 其 他 
mac-limit maximum max-num 说 明 参 见 前 面 在 接口 视图 下 配置 的 第 3 步 
例如 : [HUAWEI-vlan5] 缺 省 情况 下 , 不 限制 VLAN 中 的 MAC 地 址 学 习 数 量 , 可 
mac-limit maximum 1024 undo mac-limit maximum 命令 取消 配置 MAC 地 址 学 
习 限 制 
选 ) 配置 以 上 VLAN 中 当 MAC 地 址 数量 达到 限制 后 
得 进行 告警 。 其 他 说 明 参 见 前 面 在 接口 视图 下 配置 的 第 
macsimit alarm { disable enable} | 村 进行 其 他 说 明 参 见 前 面 在 接口 视图 下 配置 的 生 
例如 ; _V 
En 缺 省 情况 下 , 对 超过 MAC 地 址 学 习 数量 限制 的 报 文 进 

行 告警 , 可 用 undo mac-limit alarm 命令 取消 发 送 告警 
功能 









































15.2.4 MAC 地 址 表 配 置 管理 





























配置 好 以 上 MAC 地 址 表 项 后 ， 可 以 通过 以 下 display 任 意 视图 命令 查看 相关 配置 。 
(1) display mac-address: 查看 所 有 MAC 表 项 信息 。 
(2) display mac-address static: 查看 静态 MAC 表 项 信息 。 
(3) display mac-address dynamic: 查看 动态 MAC 表 项 信息 。 
(4) display mac-address blackhole: 查看 黑洞 MAC 表 项 信息 。 
(5) display mac-address aging-time: 查看 动态 MAC 表 项 的 老化 时 间 。 
(6) display mac-address summary: 查看 设备 上 各 种 类 型 MAC 地 址 表 项 的 汇总 信息 。 
(7) display mac-address total-number: 查看 设备 上 MAC 地 址 表 项 的 数量 。 
(8) display mac-limit: 查看 MAC 地 址 学 习 数 量 限 制 信息 。 







































































15.2.5 MAC 表 配置 示例 














如 图 15-1 所 示 ， 用 户主 机 PC1 的 MAC 地 址 为 0002-0002-0002， 用 户主 机 PC2 的 MAC 地 址 为 0003-0003- 
0003。LSW 连接 到 Switch 上 属于 VLAN 2 的 GE0/0/1 接 口上 。Server 服 务 器 的 MAC 地 址 为 0004-0004-0004， 
连接 的 GE0/0/2 接 口 也 属于 VLAN2。 现 在 防止 MAC 地 址 欺骗 攻击 。 





























Server 






Network 





MAC address:4-4-4 
GE0/0/2 


Switch 


GEO/0/1 


LSW 


PCl i PC2 


MAC address:2-2-2 MAC address:3-3-3 








图 15-1 MAC 表 配置 示例 拓扑 结构 












































为 防止 仿冒 MAC 地 址 的 攻击 ， 在 Switch 的 MAC 表 























为 两 个 用 户主 机 和 服务 器 主机 添加 静态 表 项 。 同 时 


























为 了 进一步 提高 设备 的 安全 性 ， 还 为 动态 MAC 地 址 表 项 设置 一 个 相对 较 短 的 老化 时 间 一 一 500s。 具 体 配 置 



































(因为 主机 不 能 识别 VLAN 标 签 ; ， 然 后 加 入 VLAN 2 中 。 


联 。 


思路 如 下 。 











(1) 创建 所 需 的 VLAN， 并 将 接口 加 入 对 应 的 VLAN 中 ， 实 现 二 层 转发 功能 。 
(2) 添加 静态 MAC 表 项 ， 实 现 防止 MAC 地 址 攻击 。 
(3) 配置 动态 MAC 表 项 的 老化 时 间 ， 以 进一步 提高 网 络 的 安全 性 。 

2. 具体 配置 步骤 

(1) 创建 VLAN 2， 配 置 GigabitEthernet0/001 和 GigabitEthernet0/0/2 接 口 为 不 带 VLAN 标 签 的 Hybrid 类 型 































































































此 























<Switch>system-view 
[Switch] vlan 2 
[Switch-vlan2] guit 
[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 2 
[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 2 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interfacegigabitethernet 0/0/2 
[Switch-GigabitEthernet0/0/2] port hybrid pvid vlan 2 
[Switch-GigabitEthernet0/0/2] port hybrid untagged vlan 2 
[Switch-GigabitEthernet0/0/2] quit 

(2) 为 PC1、PC2 和 Server 配 置 静态 MAC 地 址 表 项 ， 与 它们 对 应 的 出 





























二 





和 所 属 的 VLAN 的 ID 进行 关 


洲 


[Switch] mac-address static2-2-2GigabitEthernet0/0/1 vlan 2 
[Switch] mac-address static3-3-3GigabitEthernet0/0/1 vlan 2 
[Switch] mac-address static4-4-4GigabitEthernet0/0/2 vlan 2 
(3) 配置 动态 表 项 老化 时 间 。 
[Switch] mac-address aging-time500 
配置 好 后 ， 可 在 任意 视图 下 执行 display mac-address 命 令 查 看 静态 MAC 表 是 否 添 加 成 功 。 具 体 如 下 ， 从 




























































































中 可 以 看 到 上 面 所 配置 的 三 条 静态 MAC 地 址 表 项 。 





























[Switch] display mac-address static vlan 2 


MAC Address VLAN/VSI Learned-From Type 


0002-0002-0002 2/- GEO0/0/1 static 
0003-0003-0003 2/- GEO0/0/1 static 
0004-0004-0004 2/- GE0/0/2 Static 


Total items displayed = 3 
J] 在 任意 视图 下 执行 display mac-address aging-time 命 令 查 看 动态 表 项 老化 时 间 是 否 配置 成 功 。 有 具体 如 











| 


















































卜 ， 























结果 也 是 成 功 的 ， 因 为 正确 显示 了 老化 时 间 为 500s。 








15.2.6 基于 VLAN 的 MAC 地 址 学 习 限 制 配 置 示 例 



































如 图 15-2 所 示 ， 用 户 网 络 1 和 用 户 网 络 2 通过 两 台 LSW 与 Switch 相连 ， 连 接 的 接口 分 别 为 同属 于 VLAN 2 
的 GigabitEthernet0/0/1 和 GigabitEthemet0/0/2 接 口 。 现 为 防止 MAC 地 址 欺骗 攻击 ， 控 和 




















所 接 入 用 户 数 量 ， 在 











Switch 上 配置 对 VLAN 2 限制 MAC 地 址 学 习 功 能 。 





























Network 


Switch 
GEO/0/2 








图 15-2 基于 VLAN 的 MAC 地 址 学 习 限 制 的 配置 示例 拓扑 结构 








1. 基本 配置 思路 












































根据 本 示例 要 求 可 采用 如 下 的 思路 配置 基于 VLAN 的 MAC 地 址 学 习 限 种 



































Ws 
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(1) 创建 VLAN 2， 并 将 对 应 接口 加 入 VLAN 2 中 ， 实 现 二 层 转发 功能 。 








(2) 配置 VLAN 2 的 MAC 地 址 学 习 限 制 
2. 具体 配置 步骤 









































(1) 与 上 节 介绍 的 示例 一 样 ， 创 建 VLAN 2， 配 置 GigabitEthernet0/001 和 GigabitEthernet0/0/2 接 口 为 带 














， 实 现 防止 MAC 地 址 攻击 ， 控 制 接 入 用 户 数量 。 











VLAN 标 签 的 Hybrid 类 型 〈 因 为 交换 机 间 的 连接 必须 带 有 VLAN 标 签 ) 或 者 Trunk 类 型 ， 然 后 加 入 VLAN 2 


中 。 
<Switch>system-view 
[Switch] vlan 2 
[Switch-vlan2] guit 
[Switch] interface gigabitethernet 0/0/1 

















[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 2 
[Switch-GigabitEthernet0/0/1] port hybrid tagged vlan 2 


[Switch-GigabitEthernet0/0/1] quit 
[Switch] interfacegigabitethernet 0/0/2 


[Switch-GigabitEthernet0/0/2] port hybrid pvid vlan 2 
[Switch-GigabitEthernet0/0/2] port hybrid tagged vlan 2 


[Switch-GigabitEthernet0/0/2] quit 














(2) 在 VLAN2 上 配置 MAC 地 址 学 习 限 和 


Hp 

















习 数 量 的 报 文 进行 告警 提示 。 





ME 


规则 : 最 多 可 以 学 习 100 个 MAC 地 址 ， 超 过 最 大 MAC 地 址 学 


[Switch] vlan 2 

[Switch-vlan2] mac-limit maximum100 alarm enable 

[Switch-vlan2] quit 

配置 好 后 在 任意 视图 下 执行 display mac-limit 命 令 查 看 MAC 地 址 学 习 限 制 规则 。 









































15.3 端口 安全 配置 与 管理 





























端口 安全 (Port Security) 功能 是 将 设备 端口 学 习 到 的 MAC 地 址 变 为 安全 MAC 地 址 (包括 安全 动态 
MAC 地 址 和 Sticky MAC 地 址 ， 是 设备 信任 的 MAC 地 址 ) ， 以 阻止 除 安全 MAC 和 静态 MAC 之 外 的 主机 通过 
本 接口 和 交换 机 通信 ， 从 而 增强 设备 安全 
在 配置 端口 安全 之 前 ， 需 完成 以 下 任务 (因为 它们 与 端口 安全 功能 是 相 冲 突 的 ): 
(1) 关闭 基于 端口 的 MAC 地 址 学 习 限 制 功能 。 
(2) 关闭 配置 的 MUX VLAN 功 能 。 
(3) 关闭 MAC 认 证 功能 。 
(4) 关闭 802.1x 认 证 功能 。 
(5) 关闭 DHCP Snooping 的 MAC 安 全 功能 。 
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15.3.1 配置 安全 动态 MAC 功 能 





























在 对 接 入 用 户 的 安全 性 要 求 较 高 的 网 络 中 ， 可 以 配置 端口 安全 功能 ， 将 接口 学 习 到 的 MAC 地 址 转换 为 
安全 动态 MAC 地 址 或 Sticky MAC 地 址 ， 且 当 接 口上 学 习 的 最 大 MAC 数 量 达 到 上 限 后 不 再 学 习 新 的 MAC 地 
址 ， 只 允许 这 些 MAC 地 址 和 设备 通信 。 这 样 可 在 一 定 程度 上 《因为 非 信 任 的 MAC 地 址 也 可 在 达到 最 大 可 
学 习 MAC 地 址 数 之 前 学 习 到 ) 阻止 其 他 非 信任 的 MAC 主 机 通过 本 接口 和 交换 机 通信 ， 提 高 设备 与 网 络 的 安 
全 性 。 
缺 省 情况 下 ， 安 全 动态 MAC 表 项 不 会 被 老化 ， 但 可 以 通过 在 接口 上 配置 安全 动态 MAC 老化 时 间 使 其 
变 为 可 以 老化 ， 且 设备 重启 后 安全 动态 MAC 地 址 会 丢失 ， 需 要 重新 学 习 。 安 全 动态 MAC 功 能 的 配置 步 又 
如 表 15-7 所 示 。 





















































































































































































































































表 15-7 安全 动态 MAC 功 能 的 配置 步 又 

















命令 





System-view 


进入 系统 视图 





例如 : <HUAWEI> system-view 
interface interface-type interface- 
number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/2 


键入 要 配置 安全 动态 MAC 功能 的 接口 〈 必 须 是 二 层 接 
口 )， 进 入 接口 视图 





port-security enable 
例如 : [HUAWEI- 

GigabitEthernet0/0/2] 
port-security enable 


使 能 以 上 接口 的 端口 安全 功能 。 使 能 端口 安全 功能 后 , 才 
可 以 配置 端口 安全 保护 动作 、 安 全 动态 MAC 学 习 限 制 数 
量 和 下 节 将 要 介绍 的 Sticky MAC 功能 


缺 省 情况 下 ， 未 使 能 端口 安全 功能 ， 可 用 undo 


| port-security enable 命令 关闭 该 功能 





port-security max-mac-num 
max-number 

例如 : [HUAWEI- 
GigabitEthernet0/0/2] port-security 
max-mac-num 100 


(可 选 ) 配置 以 上 接口 的 安全 动态 MAC 学 习 限制 数量 ， 
不 同系 列 交换 机 的 取 值 范围 不 同 : S2700 系列 为 1 一 1 024 
的 整数 ，S3700 系列 为 1 一 16 384 的 整数 ，S5700/6700/ 
7700/9300/9300E/9700 系列 为 1 一 4096 的 整数 (其 中 
S5700LI、S5700S-LI、S5710EI 子 系列 为 1 一 1 024 的 整数 ) 
缺 省 情况 下 ， 接 口 学 习 的 安全 MAC 地 址 限制 数量 为 1， 
可 用 undo port-security max-mac-num 命令 恢复 端口 安 
全 MAC 地 址 学 习 限 制 数 为 缺 省 值 

















port-security protect-action 

{ protect | restrict | shutdown } 
例如 : [HUAWEI- 
GigabitEthernet0/0/2] 
port-security protect-action 
protect 





(可 选 ) 配置 以 上 接口 的 端口 安全 保护 动作 。 命 令 中 的 选 
项 说 明 如 下 。 

(1) protect: 多 选 一 选项 ， 指 定 当 接 口 学 习 到 的 MAC 地 
址 数 达 到 接口 限制 数 时 ， 丢 弃 源 MAC 地 址 不 在 MAC 表 
中 的 报 文 





说 明 





port-security protect-action 

{ protect | restrict | shutdown } 
例如 : [HUAWEI- 
GigabitEthernet0/0/2] 
port-security protect-action 
protect 


(2) restriet: 多 选 一 选项 ， 指 定 当 接口 学 习 到 的 MAC 地 
址 数 超过 接口 限制 数 时 ， 丢 奔 源 MAC 地 址 不 在 MAC 表 
中 的 报 文 ， 并 同时 发 出 告警 

(3) shutdown: 多 选 一 选项 ， 指 定 当 接 口 学 习 到 的 MAC 
地 址 数 超过 接口 限制 数 时 ， 将 端口 error down〈 是 一 种 管 
理 关 闭 模式 )， 同 时 发 出 告警 。 缺 省 情况 下 ， 端 口 关 闭 后 
不 会 自动 恢复 ， 只 能 由 网 络 管理 人 员 先 执行 shutdown 命 
令 再 执行 undo shutdown 命令 手动 恢复 , 也 可 以 在 接口 视 
图 下 执行 restart 命令 重启 接口 
缺 省 情况 下 ， 端 口 安全 保护 动作 为 restrict， 可 用 undo 
port-security protect-action 命令 配置 接口 安全 功能 的 保 
护 动作 为 缺 省 动作 








port-security aging-time 1ime 
[type { absolute | inactivity } ] 
例如 : [HUAWEI- 
GigabitEthernet0/0/2] 
port-security aging-time 30 





15.3.2 配置 Sticky MAC 功 能 








(可 选 ) 配置 以 上 接口 学 习 到 的 安全 动态 MAC 地 址 
化 时 间 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) time: 指定 安全 动态 MAC 地 址 的 老化 时 间 ， 取 值 范 
围 为 1 一 1 440 的 整数 分 钟 
(2) type absolute: 二 选 一 可 选项 ， 配 置 安全 动态 MAC 
表 项 的 老化 类 型 为 绝对 时 间 老 化 , 即 系统 每 隔 所 设置 的 时 
间 检 测 一 次 是 否 有 该 MAC 地 址 的 流量 。 如 果 没 有 流量 ， 
则 立即 将 该 安全 动态 MAC 地 址 老化 

(3) type inactivity: 二 选 一 可 选项 ， 配 置 安全 动态 MAC 
表 项 的 老化 类 型 为 相对 时 间 老 化 ， 即 系统 会 每 隔 Imin 检 
测 一 次 是 否 有 该 MAC 地 址 的 流量 。 如 果 没 有 流量 ， 则 经 
过 所 设置 的 时 间 后 将 该 安全 动态 MAC 地 址 老化 

如 果 没 有 指定 以 上 可 选项 ， 则 缺 省 值 为 absolute， 即 绝对 
时 间 老 化 类 型 

缺 省 情况 下 ， 接 口 学 习 的 安全 动态 MAC 地 址 不 老化 ， 可 
用 undo port-security aging-time 命令 使 该 接口 的 安全 动 
态 MAC 地 址 不 老化 


4 老 





( 


续 表 ) 


“Sticky《〈 粘 性 ) MAC 地 址 "与 上 节 介 绍 的 “安全 动态 MAC 地 址 差不多， 都 属于 安全 MAC 地 址 ， 都 可 


在 接口 上 使 能 端口 安全 功能 后 仅 允 许 这 些 安 全 MAC 地 址 和 静态 MAC 地 址 与 设备 进行 通 

















信 ， 在 接口 























的 最 大 MAC 数量 达到 上 限 后 不 再 学 习 新 的 MAC 地 址 。 它 们 之 间 主 要 不 同 有 以 下 几 个 方面 。 





(1) 安全 动态 MAC 地 世 


老化 〈 不 能 通过 在 接口 














学 习 到 


上 可 以 通过 在 接口 上 配置 老化 时 间 来 进行 老化 ， 但 Sticky MAC 地 址 永远 不 会 被 
配置 老化 时 间 ) 。 





(2) 安全 动态 MAC 地 址 对 应 的 MAC 表 项 在 设备 重启 后 丢失 ， 需 要 重新 学 习 ， 但 Sticky MAC 地 址 对 
应 的 MAC 表 项 在 设备 重启 后 也 不 会 丢失 ， 无 需 重 新 学 习 。 














(3) 安全 动态 MAC 地 址 表 项 只 能 通过 动态 学 习 得 到 ， 而 Sticky MAC 地 址 表 项 既 可 以 通 
又 可 以 手工 静态 配置 。 


MAC 地 址 转换 得 到 ， 









































安全 动态 


Sticky MAC 功 能 特别 适合 为 那些 关键 服务 器 或 上 行 设备 的 MAC 地 址 配置 ， 因 为 永久 有 效 ， 且 所 配置 的 


Sticky MAC 地 址 表 项 在 设备 重 











节 介绍 的 安全 动态 MAC 功 能 的 配置 差不多 。 


























表 15-8 Sticky MAC 功 能 的 配置 步 


和 E 启 后 也 不 会 丢失 。Sticky MAC 功 能 





























温 


























命令 


说 明 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





number 
侈 如: [HUAWEIlinterface 
gigabitethernet 0/0/2 


nterface interface-type interface- 


键入 要 配置 Sticky MAC 功能 的 接口 (必须 是 二 层 接口 )， 


进入 接口 视图 





port-security enable 
例如 : [HUAWEI- 

GigabitEthernet0/0/2] 
port-security enable 





port-security mac-address sticky 
网 如 : [HUAWEI- 
GigabitEthernet0/0/2] 
port-security mac-address 
sticky 


使 能 以 上 接口 的 端口 安全 功能 ， 其 他 说 明 参 见 上 节 表 


15-8 中 的 第 3 步 





使 能 以 上 接口 的 Sticky MAC 功能 。 使 能 Sticky MAC 功 
能 后 接口 会 将 学 习 到 的 动态 MAC 地 址 转化 为 Sticky 
MAC (相当 于 静态 MAC) 

缺 省 情况 下 ， 接 口 未 使 能 Sticky MAC 功能 ， 可 用 undo 
port-security mac-address sticky 命令 去 使 能 接口 的 
Sticky MAC 功能 





port-security max-mac-num 
max-number 

例如 : [HUAWEI- 
GigabitEthernet0/0/2] 
port-security max-mac-num 100 


(可 选 ) 配置 以 上 接口 安全 动态 MAC 学 习 限 制 数 
他 说 明 参 见 上 节 表 15-8 中 的 第 4 步 


最 ， 其 





port-security protect-action 

{ protect | restrict | shutdown } 
例如 : [HUAWEI- 
GigabitEthernet0/0/2] port- 
Security protect-action protect 


(可 选 ) 配置 以 上 接口 的 端口 安全 保护 动作 。 
见 上 节 表 15-8 中 的 第 5 步 


其 他 说 明 参 




















15.3.3 端口 安全 配置 管理 











配置 好 端口 安全 功能 后 ， 可 使 月 


(1) display current-configuration interface interface-type interface-number: 














括 端口 安全 配置 信息 ) 。 








(2) display mac-address security [vlan vlan-id | interface-type interface-number ] * [ verbose ] : 


或 者 所 有 安全 动态 MAC 表 项 的 详细 《选择 verbose 可 选项 时 ) 或 者 摘 信息 。 





VLAN 或 者 指定 接口 ， 


(3) display mac-address sticky [vlanvlan-id | interface-type interface-number ] * [verbose ] : 








VLAN 或 者 指定 接口 ， 


15.3.4 端口 安全 配置 示例 














port-security mac-address sticky 
mac-address vlan vlan-id 

例如 ; [HUAWEI- 
GigabitEthernet0/0/2] 
port-security mac-address 
sticky 0001-0002-0003 vlan 5 























命令 中 的 参数 说 


(可 选 ) 手动 配置 stieky-mac 地 址 表 项 。 
明 如 下 。 
(1) mac-address: 配置 为 Sticky MAC 地 址 的 MAC 地 址 ， 


格式 为 H-H-H， 其 中 日 为 1 至 4 位 的 十 六 进 制 数 ， 不 能 
为 FFFF-FFFF-FFFF 

(2) vlan-id 指定 以 上 Sticky MAC 地 址 对 应 的 出 接口 所 
属 VLAN 的 VLANID， 取 值 范围 为 1 一 4 094 
缺 省 情况 下 , 接口 上 没 配置 Sticky MAC 地 址 , 可 用 undo 
port-security mac-address sticky [ mac-address vlan 
vian-id ] 命 令 删 除 指定 的 Sticky MAC 地 址 





日 以 下 display 任 意 视图 命令 查看 端口 安全 相关 配置 。 








= 





体 的 配置 步 又 如 表 15-8 所 示 ， 整 体 与 上 


























查看 接口 上 的 配置 信息 ( 包 


查看 指定 





查看 指定 


或 者 所 有 Sticky MAC 表 项 的 详细 (选择 verbose 可 选 项 时 ) 或 者 摘 信息 。 























本 示例 拓扑 结构 如 图 15-3 所 示 ， 为 了 提高 信息 安全 ， 将 Switch 连接 用 户 侧 的 GEO/O/1 接 口 使 能 端口 安全 
功能 ， 并 且 设 置 了 端口 学 习 MAC 地 址 数 的 上 限 为 信任 的 设备 总 数 ， 这 样 其 他 外 来 人 员 使 用 自己 带 来 的 PC 无 
法 访问 公司 的 网 络 。 
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Intranet 


Switch 
GE0O/0/1 





SwitchA 


图 15-3 端口 安全 配置 示例 拓扑 结构 



































1. 基本 配置 思路 

本 示例 的 要 求 很 简单 ， 就 是 要 为 接口 使 能 端口 安全 功能 。 还 可 为 了 使 设备 在 重启 后 不 丢失 所 学 习 的 安 
全 功能 ， 为 这 些 信任 设备 使 能 Sticky MAC 功 能 ， 并 配置 当 学 习 到 的 Sticky MAC 地 址 超过 限制 的 安全 MAC 
地 址 总 数 时 为 protect 动作 ， 丢 弃 源 MAC 地 址 不 在 MAC 表 中 的 报 文 。 

2. 具体 配置 步 又 

(1) 创建 VLAN， 配 置 接口 类 型 ， 并 把 接口 加 到 VLAN 中 。 

<HUAWEI>system-view 

[HUAWEI] sysname Switch 

[Switch] vlan 10 

[Switch-vlan10] quit 
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[Switch] interface gigabitethernet 0/0/1 
[Switch-GigabitEthernet0/0/1] port link-type trunk 
[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10 

(2) 配置 GE0/0/1 接 口 的 端口 安全 功能 和 Sticky MAC 功 能 ， 并 配置 安全 功能 动作 。 
[Switch-GigabitEthernet0/0/1] port-security enable  #--- 使 能 端口 安全 功能 
[Switch-GigabitEthernet0/0/1] port-security mac-address sticky #--- 使 能 接口 Sticky MAC 功 能 
端口 安全 功能 的 动作 为 “protect” 动 





















































on 











[Switch-GigabitEthernet0/0/1] port-security protect-action protect#--- 配 

















作 











[Switch-GigabitEthernet0/0/1] port-security max-mac-num 4 ”#--- 配 置 接口 学 习 MAC 地 址 的 数 最 多 为 4 个 

说 明 

这 里 之 所 以 限制 学 习 MAC 地 址 数 为 4 个 ， 是 假设 Switch 用 户 侧 接 了 四 台 设 备 (三 台 PC 主 机 和 接 入 交换 
机 SwitchA) ， 通 过 这 样 的 限制 ， 接 口 就 不 能 再 学 习 其 他 设备 MAC 地 址 了 。 这 样 如 果 PC1 换 成 其 他 设备 ， 就 
无 法 访问 公司 网 络 了 。 因 为 又 配置 的 是 Sticky MAC 地 址 ， 即 使 SwitchA 重 启 了 ， 这 些 已 学 习 到 的 MAC 地 址 







































































表 项 也 不 会 丢失， 接口 上 连接 成 其 他 设备 仍然 不 能 访问 网 络 ， 达 到 了 示例 中 的 要 求 。 

















15.4 其 他 基于 MAC 地 址 的 安全 功能 配置 




















除了 前 面 介绍 两 种 主要 的 基于 MAC 地 址 的 安全 功能 外 ， 还 有 一 些 比较 小 的 安全 功能 ， 如 MAC 地 址 防 





漂移 功能 、MAC 地 址 漂移 检测 功能 、 

















MAC-spoofing-defend 功 能 〈 禁 止 学 习 其 他 MAC 地 址 ) 、 丢 弃 全 零 











MAC 地 址 报 文 功能 、MAC 刷 新 ARP 功 能 和 端口 桥 功 能 等 。 本 节 对 这 些 功 能 以 及 它们 的 


以 介绍 。 








15.4.1 配置 MAC 地 址 防 漂移 





“MAC 地 址 漂移 ”就 是 设备 上 一 个 接口 





学 习 到 











样 后面 学 习 到 的 MAC 地 址 表 项 就 会 覆盖 原来 的 表 项 〈 对 应 的 出 接口 











要 有 两 个 : 
MAC 地 址 进行 MAC 地 址 攻击 。 
配置 MAC 地 址 防 漂移 功能 后 ， 可 以 
































采 证 




















一 个 


冒 合法 主机 的 MAC 地 址 的 入 侵 而 改变 该 MAC 地 址 原来 了 


的 MAC 地 址 在 同一 VLAN 中 另 一 个 接 





(1) 网 络 中 交换 机 网 线 误 接 或 配置 错误 形成 了 环 网 ; 
































体 配 置 方 法 分 别 予 


上 也 被 学 习 到 ， 这 


不 同 了 ) 。 出 现 MAC 地 址 漂移 的 原因 主 


(2) 网 络 中 茶 些 非法 用 户 仿冒 合法 的 





MAC 地 址 的 表 项 仅 可 在 一 个 正确 的 接 






































E 确 的 MAC 地 址 表 项 。 


MAC 地 址 漂移 功能 的 配置 很 简单 ， 只 需 配 置 以 下 两 项 配置 任务 。 





(1) 配置 接口 MAC 地 址 学 习 优 先 级 
在 接 

















(2) 配置 不 允许 相同 优先 级 接 

















址 漂移 ， 提 高 网 络 的 安全 性 。 如 设备 的 上 行 
































〈 例 如: 服务 器 ) 关机 后 ， 





























能 是 伪造 的 ) ， 这 时 当 原 来 关闭 的 网 络 设备 














该 网 络 设备 通信 的 中 断 。 








口上 配置 不 同 的 MAC 地址 学 习 优先 级 后 ， 如 果 不 同 |]j 
级 接口 学 到 的 MAC 地 址 表 项 可 以 覆盖 低 优先 级 接口 学 到 上 
口 MAC 地 址 漂移 
配置 不 允许 相同 优先 级 《〈 缺 省 都 是 相同 优先 级 ) 的 接 
接口 连接 服务 器 ， 
务 器 的 MAC 地 址 入 侵 ， 可 以 配置 不 允许 相同 优先 级 的 接口 发 生 MAC | 
的 MAC 地 址 ， 非 法 用 户 将 无 法 使 用 网 络 设备 MAC 地 址 干扰 设备 与 其 他 网 络 设备 的 了 
但 配置 不 允许 相同 优先 级 接口 MAC 地 址 漂移 功能 后 也 有 负面 的 影响 ， 如 设备 的 接口 连接 的 网 络 设备 
学 习 到 与 该 网 络 设备 同样 的 MAC 地 址 (可 
欣 上 电 后 就 不 能 再 次 正确 学 习 这 个 设备 的 MAC 地 址 ， 造 成 与 


而 设备 的 另外 一 个 优先 级 相同 的 接口 























接口 学 到 相同 的 MAC 地 址 表 项 ， 那 么 高 优先 
上 MAC 地址 表 项 ， 防 止 MAC 地 址 发 生 漂移 。 











下 行 接口 连接 / 
































以 上 两 项 MAC 地 址 防 漂移 的 配置 任务 的 具体 配置 步骤 如 表 15-9 所 示 ， 都 是 可 选 的 。 








表 15-9 MAC 地 址 防 漂移 的 配置 步 又 


























上 学 习 到 ， 防 止 仿 








口 发 生 MAC 地 址 表 项 覆盖 ， 也 可 以 防止 MAC 地 
] 户 。 为 防止 非法 用 户 伪 造 服 











地 址 漂移 。 这 样 接口 将 不 











于 学 习 相 同 








E 常 通信 。 








说 明 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





iD 


interface interface-type interface- 
number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/2 


键入 要 配置 MAC 地 址 防 漂移 功能 的 接口 (必须 是 二 层 接 
口 )， 进 入 接口 视图 





mac-learning priority priority-id 
例如 : [HUAWEI- 


配置 接口 学 习 MAC 地 址 的 优先 级 ， 取 值 范 围 为 0 一 3 的 
整数 ， 数 值 越 大 优先 级 越 高 。 为 想 要 正 学 习 的 某 MAC 























3 es i 地 址 的 接口 配置 更 高 的 优先 级 
Oe 缺 省 情况 下 ， 所 有 接口 学 习 MAC 地 址 的 优先 级 均 为 0， 
人 可 用 undo mac-learning priority 命令 恢复 为 缺 省 值 
uit 
4 例如 : [HUAWEI- 退出 接口 视图 ， 返 回 系统 视图 
GigabitEthernet0/0/2] quit 
步骤 命令 说 明 











15.4.2 MAC 地 址 漂移 检测 





undo mac-learning priority 
priority-id allow-flapping 
例如 :， [HUAWEI] undo 
mac-learning priority 2 
allow-flapping 























配置 与 管理 


























上 市 介绍 了 设备 的 MAC 地 址 防 漂移 功能 ， 本 市 介绍 的 是 MAC 地 址 漂移 检测 功能 。 


全 局 配置 不 允许 相同 优先 级 的 接口 发 生 MAC 地 址 漂 
移 。 参数 priority-id 用 来 指定 不 允许 发 生 MAC 地 址 漂 
移 的 接口 学 习 MAC 地 址 的 优先 级 ， 取 值 范围 为 0 一 3 
的 整数 

缺 省 情况 下 ， 人 允许 相同 优先 级 的 接口 发 生 MAC 地 址 漂 
移 ， 可 用 mac-learning priority allow-flapping 命令 恢复 
缺 省 情况 











\ 媚 


通 














( 续 表 ) 


过 MAC 地 址 漂移 

















检测 功能 可 以 检测 设备 上 所 有 的 MAC 地 址 是 否 发 生 了 漂移 ， 是 一 种 早期 预防 功能 。 如 果 发 生 漂移 ， 设 备 会 


上 报告 警 到 网 管 系统 。 


MAC 地 址 漂移 检测 功能 可 以 分 别 基 于 VLAN 和 全 





1. 基于 VLAN 的 MAC 地 址 漂移 检测 
当 基 于 VLAN 配 置 MAC 地 址 漂移 检测 后 ， 系 统 将 检测 该 VLAN 内 所 有 MAC 地 址 是 否 发 生 漂 移 ， 若 出 
现 MAC 地 址 漂移 则 执行 阻 断 动作 ， 阻 断 时 间 到 达 后 放 开 并 重新 进行 检测 。 若 20s 内 没有 再 次 检测 到 MAC 














地 址 漂移 ， 则 接口 阻塞 被 完全 解除 ， 重 新 开始 一 




















阻 





当 系 统 检测 到 某 VLAN 内 有 MACH 


























局 配置 ， 用 户 选择 其 








一 即 可 。 



































轮 检 测 ， 若 在 20s 内 再 次 检测 到 MAC 地 址 漂移 ， 则 再 次 开始 











配置 解除 指定 VLAN 下 的 接口 阻 断 或 MAC 地 址 阻 断 来 恢复 到 正常 状态 。 


2. 基于 全 局 的 MACH 














也 址 漂移 检测 





， 如 此 反复 ， 直 到 达到 设 定 的 重 试 次 数 ， 若 依然 能 够 检测 到 MAC 地址 漂移 ， 则 永久 阻 断 该 接口 。 
也 址 发 生 漂移 且 发 生 漂移 的 接口 或 MAC 地 址 被 永久 阻 断 时 ， 只 能 通过 


当 基 于 配置 全 局 MAC 地 址 漂移 检测 功能 ， 就 可 以 检测 到 设备 上 所 有 的 MAC 地 址 是 否 发 生 了 漂移 。 如 




















果 用 户 






































人 YE 











期 内 只 能 关闭 








三 病 
































以 上 两 种 MAC 地 址 漂移 检测 的 具体 配置 方法 如 表 15-10 所 示 。 





表 15-10 MAC 地 址 漂移 检测 的 具 

















体 配 置 方法 

















医改 动态 MAC 表 项 的 老化 时 间 变 长 ， 会 导致 观测 到 MAC 地 址 漂移 的 时 间 变 长 ， 为 了 能 够 及 时 检测 
到 MAC 地 址 漂移 ， 可 以 修改 漂移 表 项 的 老化 时 间 。 当 基于 全 
后 ， 如 果 系 统 检测 到 是 该 端口 
MAC 地 址 漂移 表 项 老化 周 


局 在 端口 上 配置 了 MAC 地 址 漂移 处 理 动作 
学 习 的 MAC 发 生 漂移 ， 会 将 该 端口 关闭 或 者 退出 原来 的 YLAN。 但 在 一 个 
口 。 


system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





基于 VLAN 配置 MAC 地 址 漂移 检测 功能 





vlan vlan-id 
例如 : [HUAWEI] vlan 10 


loop-deteet eth-loop 

{[ block-mac ] block-time 
block-time retry-times 
remry-times | alarm-only } 

例如 : [HUAWEI-vlan10] 
loop-detect eth-loop block-mac 
0001-0002-0003 retry-times 3 


return 

例如 : [HUAWEI-vlan10] return 
display loop-detect eth-loop 
[vlan vlan-id ] 

例如 : <HUAWEI> display 
loop-detect eth-loop 


键入 要 配置 MAC 地 址 漂移 检测 功能 的 VLAN， 进 入 
VLAN 视图 


配置 对 指定 的 MAC 地 址 漂移 检测 功能 。 

(1) bloek-mac: 可 选项 ， 指 定 根据 MAC 地 址 阻 断 。 当 没 
有 指定 此 选项 时 , 如 果 发 现 MAC 地 址 漂移 则 阻 断 整 个 接口 
(2) block-time; 指定 阻 断 的 时 间 ,， 取 值 范围 为 10 一 65 535 
的 整数 秒 

(3) retry-times: 指定 阻 断 的 重 试 次 数 ， 取 值 范围 为 1 一 5 
的 整数 

(4) alarm-only: 二 选 一 选项 ， 指 示 当 系统 检测 到 MAC 
地 址 漂移 时 不 阻 斯 接口 或 MAC 地 址 ， 只 给 网 管 发 送 告 鸽 
缺 省 情况 下 , 没有 配 图 基于 VLAN 的 MAC 地 址 漂移 检测 
功能 ， 可 用 undo loop-detect eth-loop 命令 取消 对 指定 
VLAN 的 该 功能 


退出 VLAN 视图 ， 返 回 用 户 视图 


查看 指定 VLAN 下 MAC 地 址 漂移 的 检测 信息 , 包括 被 阻 
断 的 接口 、 所 属 VLAN、 被 阻 断 的 MAC 地 址 等 





基于 全 局 配置 MAC 地 址 漂移 检测 功能 


mac-address flapping detection 
例如 : [HUAWET mac-address 
flapping detection 


mac-address flapping detection 
exclude vlan { vlan-id/! [to 
Vian-id2 ] 上 &<1-10> 

例如 : [HUAWEI] mac-address 
flapping detection exclude vlan 
5to10 


mac-address flapping detection 
vlan { {vianidi [tovlan-id2] } 
&<1-10> | all } security-level 

{ high | middle llow } 

例如 : [HUAWEI]mac-address 
flapping detection vlan 5 
security-level high 





配置 全 局 MAC 地 址 漂移 检测 功能 

缺 省 情况 下 ， 已 经 配置 了 全 局 MAC 地 址 漂移 检测 功能 ， 
可 用 undo mac-address flapping detection 命令 取消 配置 
全 局 MAC 地 址 漂移 检测 功能 

{可 选 ) 配 浆 MAC 地 址 漂移 检测 的 VLAN 白 名 单 ， 即 指 
定 不 进行 MAC 地 址 漂移 检测 的 VLAN 

缺 省 情况 下 , 没有 配置 MAC 地 址 漂移 检测 的 VLAN 白 名 
单 ， 可 用 undo mac-address flapping detection exclude 
vlan { {wian-id1 [to vian-id2 ] } &<1-10> | all } 命令 出 除 
MAC 地 址 漂移 检测 时 指定 的 或 所 有 VLAN 外 名 单 

(可 选 ) 配置 指定 VLAN 中 MAC 地 址 漂移 检测 的 安全 级 
别 , 命令 中 的 参数 和 选项 说 明 如 下 。 

0) wan-id1 [te vian-id2 ]: 二 过 一 参数 , 指定 要 配置 MAC 
地 址 省 移 检 测 的 安全 级 别 的 VLAN 

(2) &<1-10>: 表示 wan-id1 [to vian-id2 ] 参 数 可 以 最 多 有 
10 个 

(3) all: 二 选 一 选项 ， 指 定 在 所 有 VLAN 上 配置 MAC 地 
址 漂移 检测 的 安全 级 别 

(4) high: 多 选 一 选项 ， 配 置 对 指定 VLAN 的 MAC 漂移 
检测 安全 级 别 为 高 ， 即 MAC 地 址 发 生 3 次 迁移 后 ， 系 统 
认为 发 生 了 MAC 地 址 漂移 

(5) middle: 多 选 一 选项 ， 配 置 对 指定 VLAN 的 MAC 潭 
移 检 测 安全 级 别 为 中 , 即 MAC 地 址 发 生 10 次 迁移 后 , 系 
统 认为 发 生 了 MAC 地 址 漂移 

(6) low: 多 选 一 选项 ， 配 置 对 指定 VLAN 的 MAC 源 移 
检测 安全 级 别 为 高 , 即 MAC 地 址 发 生 50 次 迁移 后 , 系统 
认为 发 生 了 MAC 地址 漂移 

缺 省 情况 下 , MAC 地 址 漂移 检测 的 安全 级 别 为 middle， 
可 用 undo mac-address flapping detection vlan 
{ { vian-idl [ to vian-id2 ] } &<1-10> | all } security- 
level [ high | middle | low ] 命 令 恢复 指定 VLAN 的 安全 
级 别 为 缺 省 值 








命令 


说 明 





mac-address flapping aging-time 
aging-time 

例如 : [HUAWEI] mac-address 
flapping aging-time 100 


(可 选 ) 配置 MAC 地 址 漂移 表 项 的 老化 时 间 , 取 值 范围 为 
60 一 900 的 整数 秒 

缺 省 情况 下 ，MAC 地 址 漂移 表 项 的 老化 时 间 为 300s， 
可 用 undo mac-address flapping aging-time 命令 恢复 为 
缺 省 值 





interface interface-type interfac 
e-number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 


(可 选 ) 键入 要 配置 发 生 MAC 漂移 后 的 处 理 动作 的 接口 ， 
进入 接口 视图 





mac-address flapping action 
{ quit-vlan | error-down } 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
mac-address flapping action 
quit-vlan 


(可 选 ) 配置 接口 发 生 MAC 漂移 后 的 处 理 动作 。 命令 中 的 
选项 说 明 如 下 。 

(1) quit-vlan: 二 选 一 选项 ， 指 定 接口 在 发 生 MAC 地 址 
漂移 后 ， 该 接口 从 原 VLAN 中 退出 

(2) error-down: 二 选 一 选项 ， 指 定 接口 在 发 生 MAC 地 
址 漂移 后 ， 关 闭 该 接口 

缺 省 情况 下 ， 端 口 关闭 后 不 会 自动 恢复 ， 只 能 由 网 络 管 
理 人 员 先 执行 shutdown 命令 再 执行 undo shutdown 命 
令 手 动 恢复 ， 也 可 以 在 接口 视图 下 执行 restart 命令 重 
启 接口 

缺 省 情况 下 ,没有 配置 接口 MAC 地 址 漂移 后 的 处 理 动作 ， 
可 用 undo mac-address flapping action { error-down | 


quit-vlan } 命 令 恢复 缺 省 情况 





return 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] return 


退出 接口 视图 ， 返 回 用户 视 图 





display mac-address flapping 
例如 : <HUAWEI> display 
mac-address flapping 


(可 选 ) 查看 MAC 漂移 检测 功能 的 配置 信息 。 可 查看 到 的 
信息 如 下 。 

(1) 是 否 已 经 配置 了 MAC 地 址 漂移 检测 功能 

(2) MAC 地 址 漂移 表 项 的 老化 时 间 

(3) 端口 退 VLAN 的 恢复 时 间 

(4) MAC 地 址 漂移 检测 的 VLAN 白 名 单 

(5) MAC 地 址 漂移 检测 3 个 安全 级 别 的 VLAN 名 单 








display mac-address flapping 
record [ begin YYYY/MM/DD 
HH:MM:SS] 

例如 : <HUAWEI> display 
mac-address flapping record 
2013/07/04 19:00:00 





15.4.3 配置 MAC-spoofing-defend 功 能 























(可 选 ) 查看 MAC 地 址 漂移 的 历史 记录 ， 可 选 参数 begin 
YYYYAMM/DD HH:MM:SS 用 来 指定 要 查看 历史 记录 的 开 
始 时 间 。 所 能 查 到 的 信息 同 display mac-address flapping 
命令 








这 个 “MAC-spoofing-defend” 功 能 与 前 面 介绍 的 MAC 地 址 防 漂移 一 样 ， 最 终 的 目的 也 是 在 一 个 接口 学 习 











到 的 MAC 地 址 不 允许 再 在 其 他 接口 上 学 习 到 ， 也 可 以 防止 某 些 非法 用 户 仿冒 MAC 地 址 发 送 报 文 ， 只 是 所 


采用 的 方法 不 同 而 已 。MAC-spoofing-defend 功 能 是 通过 将 接口 配置 为 信任 接口 ， 以 使 该 接 














地 址 在 其 他 接口 将 不 会 再 学 习 到 。 


















































学 习 到 的 MAC 





MAC-spoofing-defend 功 能 的 配置 方法 很 简单 ， 只 需要 全 局 和 对 应 接口 上 同时 使 能 该 功能 即 可 ， 具 体 配 


置 步骤 如 表 15-11 所 示 。 





表 15-11 MAC-spoofing-defend 功 能 的 配置 步骤 





System-view 
诈 如 : <HUAWEI> system-view 


进入 系统 视图 





ac-spoofing-defend enable 
如 : [HUAWEI] 
ac-spoofing-defend enable 


使 能 全 局 MAC-spoofing-defend 功能 

缺 省 情况 下 ,没有 使 能 全 局 的 MAC-spoofing-defend 功能 ， 
可 用 undo mac-spoofing-defend enable 命令 去 使 能 全 局 
MAC-spoofing-defend 功能 





interface interface-type interface- 
number 

如 : [HUAWEI]interface 
gigabitethernet 0/0/2 


键入 要 配置 MAC 地 址 防 漂移 功能 的 接口 (必须 是 二 层 接 
口 )， 进 入 接口 视图 








ac-spoofing-defend enable 
如 : [HUAWEI- 
GigabitEthernet0/0/2] 
mac-spoofing-defend enable 








使 能 以 上 接口 的 MAC-spoofing-defend 功能 , 即将 接口 配置 为 
信任 接口 。 如 果 信 任 接 口 连接 的 设备 下 电 后 ， 相 应 的 动态 
MAC 地 址 表 项 按照 老化 时 间 正 常 老化 , 但 如 果 更 换 信 任 接口 
连接 的 设备 ， 则 新 设备 的 MAC 地 址 不 能 被 其 他 端口 学 习 到 
缺 省 情况 下 ， 接 口 为 不 信任 接口 ， 可 用 undo mac-spoofing- 
defend enable 命令 取消 接口 为 信任 接口 





15.4.4 配置 丢弃 全 零 MAC 地 址 报 文 功 能 

















网 络 中 的 一 些 主机 或 设备 在 发 生 故 障 时 ， 往 往 会 向 交换 机 发 送 源 MAC 地 址 或 目的 MAC 地 址 为 全 0 的 
报 文 。 可 配置 交换 机 丢弃 这 些 报 文 ， 还 可 以 配置 在 收 到 这 些 报 文 时 上 报告 营 ， 管 理 员 可 根据 告警 信息 来 定 
位 故障 设备 。 有 具体 的 配置 步骤 如 表 15-12 所 示 。 


























表 15-12 丢弃 全 零 MAC 地 址 报 文 功能 的 配置 步 又 














步骤 命令 说 明 


system-view 
例如 : <HUAWEI> system-view 





进入 系统 视图 


使 能 交换 机 丢弃 全 0 非法 MAC 地 址 报 文 的 功能 

缺 省 情况 下 ， 交 换 机 没有 使 能 丢弃 全 0 非法 MAC 地 址 

报 文 的 功能 ， 可 用 undo drop illegal-mac enable 命令 恢 

复 缺 省 情况 

(可 选 ) 配置 交换 机 收 到 全 0 非法 MAC 地 址 报 文 时 生成 
-条 告警 ， 但 只 能 告警 一 次 ， 如 果 需 要 继续 告警 ， 必 须 

重新 配置 该 命令 。 但 在 此 之 前 一 定 要 在 设备 系统 视图 下 

使 用 snmp-agent trap enable feature-name lldptrap 命 

令 使 能 设备 的 LLDP 告警 功能 

缺 省 情况 下 ， 交 换 机 收 到 全 0 非法 MAC 地 址 报 文 时 不 

生成 告警 ， 可 用 undo drop illegal-mac alarm 命令 恢复 

缺 省 情况 





drop illegal-mac enable 
例如 : [HUAWEI] drop 
illegal-mac enable 


iD 








drop illegal-mac alarm 
3 例如 : [HUAWEI]drop illegal-mac 
alarm 














15.4.5 配置 MAC 剧 新 ARP 功 能 


























如 果 用 户 更 换 某 主机 位 置 ， 使 主机 连接 到 设备 的 另 一 个 接口 上 ， 该 主机 的 MAC 地 址 将 在 另 一 个 接口 上 
被 学 习 到 ， 其 对 应 的 MAC 表 项 的 出 接口 将 会 变化 ， 但 是 原 ARP 表 项 在 到 达 老 化 时 间 后 才 会 更 新 表 项 中 的 出 
接口 。 在 到 达 老 化 时 间 之 前 ， 设 备 将 使 用 错误 的 ARP 表 项 来 进行 通信 。 配 置 MAC 刷 新 ARP 功 能 后 ， 当 MAC 
表 项 的 出 接口 变化 时 可 即时 更 新 ARP 表 项 。 

MAC 刷 新 ARP 功 能 的 配置 方法 很 简单 ， 只 需 在 系统 视图 下 使 用 mac-address update amp 命令 使 能 MAC 刷 
新 ARP 功 能 即 可 。 缺 省 情况 下 ， 没 有 使 能 MAC 刷 新 ARP 功 能 ， 可 用 undo mac-address update arp 命 令 去 使 能 
MAC 刷 新 ARP 功 能 。 

该 命令 只 对 动态 ARP 表 项 生效 ， 不 会 更 新 静态 ARP 表 项 。 另 外 ， 使 用 arp anti-attack entry-check { fixed- 
mac | fixed-all | send-ack } enable 命 令 配 置 ARP 表 项 固化 功能 《参见 本 书 第 16 章 的 16.3.1 节 ) 后 ，MAC 刷 新 
ARP 功 能 不 生效 。 








































































































15.4.6 配置 端口 桥 功 能 





[sy 























的 出 接口 
存在 源 MAC 地 址 和 
形 。 























(1) 设备 下 挂 有 不 具备 二 层 转 发 能 力 的 设备 〈 如 集线器 ) 。 当 这 些 无 二 层 转 发 能 力 的 设备 连接 的 ) 
层 设 备 完成 转发 功能 。 








有 互通 需求 时 ， 会 直接 将 报 文 上 送 到 上 
和 目的 MAC 地 址 都 会 在 二 层 设 备 的 同一 端 
(2) 设备 下 连接 一 台 启 


























换 ， 会 大 大 影响 数据 交换 速度 和 服务 器 性 能 。 


目的 MAC 地 址 所 对 应 的 MAC 地 址 表 ] 


层 二 层 设 备 ， 由 
口 学 习 到 。 

了 多 个 虚拟 机 的 服务 器 。 如 果 采 
为 了 提高 数据 交换 速度 和 服务 器 性 能 ， 可 








数据 交换 。 这 样 在 设备 的 同一 端口 也 会 同时 学 习 到 报 文中 的 源 地 址 和 





缺 省 情况 下 ， 设 备 在 收 到 同 源 同 宿 报 文 〈《 即 源 MAC 地 址 和 目 
均 为 设备 上 的 同一 接口 的 报 文 ) 时 ， 设 备 判断 为 非法 报 文 ， 并 直接 丢弃 该 报 文 。 但 有 时 ， 又 的 确 





的 MAC 地 址 所 对 应 的 MAC 地 址 表 项 中 





























项 : 





的 出 接口 为 同一 接口 的 情况 ， 如 下 面 两 种 情 

















] 户 









































此 时 报 文中 的 源 MAC 地 址 


j 在 服务 器 内 部 完成 虚拟 机 之 间 的 数据 交 














层 设 备 来 进行 





目的 MAC 地 址 。 








配置 端口 桥 功 能 后 ， 当 端口 收 到 同 源 同 宿 报 文 时 ， 如 果 设 备 上 的 MAC 地 址 表 中 存在 与 该 报 文 的 目的 








MAC 地 址 对 应 的 表 项 ， 则 将 报 文 从 本 端口 转发 出 去 。 端 
下 使 用 port bridge enable 命 令 使 能 端口 桥 功 能 即 可 。4 











的 端口 桥 功 能 。 





enable 命 令 去 使 能 对 应 接口 




















15.4.7 MAC 防 漂移 配置 示例 








本 示例 拓扑 结构 如 





中 很 难 控制 接 入 用 户 的 行为 ， 如 果 某 些 非法 用 户 从 其 他 接口 假 











口 桥 功 和 


的 配置 也 很 简单 ， 就 是 在 对 应 的 接口 视图 


























图 15-4 所 示 ， 某 企业 网 络 中 的 用 户 需要 访问 企业 的 服务 器 (Server) 。 
冒 服务 器 的 MAC 地 址 发 送 报 文 ， 则 服务 器 的 














决 省 情况 下 ， 没 有 配置 端口 桥 功 能 ， 





















































MAC 地 址 将 在 其 他 接口 学 习 到 。 为 了 提高 服务 器 安全 性 ， 防 止 被 非法 用 户 攻击 ， 可 在 服务 器 连接 的 





GE0/0/1 接口 上 配置 MAC 防 漂移 功能 。 











Server 
MAC:11-22-33 


GE0/O/1 | VLAN 10 






Switch 


GE0/0/2 


PC4 


MAC:11-22-33 

















图 15-4 MAC 防 漂移 配置 示例 拓扑 结构 











因为 本 示例 的 要 求 和 配置 都 非常 简单 ， 所 以 下 面 直接 给 出 具体 的 配置 步骤 。 























(1) 创建 YLAN， 配 置 接口 
<Switch>system-view 
[Switch] vlan 10 
[Switch-vlan10] guit 

















[Switch] interface gigabitethernet 0/0/2 


类 型 ， 并 将 接 

















加 入 VLAN 中 。 


可 用 undoport bridge 


于 在 企业 网 


[Switch-GigabitEthernet0/0/2] port link-type trunk 

[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 10 

[Switch-GigabitEthernet0/0/2] quit 

[Switch] interface gigabitethernet 0/0/1 

[Switch-GigabitEthernet0/0/1] port hybrid pvid vlan 10 

[Switch-GigabitEthernet0/0/1] port hybrid untagged vlan 10 

(2) 在 GigabitEthernet0/0/1 接 口上 配置 MAC 地 址 学 习 的 优先 级 为 2， 高 于 其 他 接口 所 采用 的 缺 省 值 0， 

可 以 防止 非法 覆盖 服务 器 的 MAC 地 址 表 项 。 

[Switch-GigabitEthernet0/0/1] mac-learning priority 2 

[Switch-GigabitEthernet0/0/1] quit 

配置 好 后 在 任意 视图 下 执行 display current-configuration 命令 可 查看 接口 MAC 地 址 学 习 的 优先 级 配置 
否 正确 。 






























































15.4.8 MAC 地 址 漂移 检测 配置 示例 


























本 示例 拓扑 结构 如 图 15-5 所 示 ， 网 络 中 两 台 LSW 间 网 线 可 能 因 误 接 形成 了 网 络 环 路 ， 这 样 会 引起 

















MAC 地 址 发 生 漂移 、MAC 地 址 表 振 荡 。 为 了 能 够 及 时 检测 网 络 中 出 现 的 环 路 ， 可 以 在 Switch 上 配置 MAC 地 























址 漂移 检测 功能 。 







Network 


Switch 


GE0O/O/1 GEO/0/2 


tsw! 二 SB .sv 


误 接 网 线 








图 15-5 MAC 地 址 漂移 检测 配置 示例 拓扑 结构 


(1) 开启 MAC 地 址 漂移 检测 功能 。 
<Switch>system-view 
[Switch] mac-address flapping detection 

(2) 配置 MAC 地 址 漂移 表 项 的 老化 时 间 为 500s。 
[Switch] mac-address flapping aging-time 500 

(3) 配置 GE0/0/1 和 GE0/0/2 接 口 MAC 地 址 漂移 后 关闭 。 
[Switch] interface gigabitethernet 0/0/1 





[Switch-GigabitEthernet0/0/1] mac-address flapping action error-down 
[Switch-GigabitEthernet0/0/1] quit 
[Switch] interface gigabitethernet 0/0/2 


[Switch-GigabitEthernet0/0/2] mac-address flapping action error-down 
[Switch-GigabitEthernet0/0/2] quit 
(4) 配置 被 Shutdown 接 口 的 自动 恢复 功能 、 自 动 恢 复 时 间 为 500s。 
[Switch] error-down auto-recovery cause mac-address-flapping interval500 
配置 完成 后 ， 当 GE0/0/1 接口 的 MAC 地 址 漂移 到 接口 GE0/0/2 后 ， 接 口 GE0/0/2 关 闭 ; 使 用 display 
mac-address flapping record 命 令 可 查看 到 漂移 记录 。 


<Switch>display mac-address flapping record 









































































































































9 : Start time 
E:endtime 

(Q) : quit vlan 
(D) : error down 


Move-Time VLAN MAC-Address Original-Port Move-Ports MoveNum 


S:2012-04-01 17:22:36 1 0000-0000-0007 GEO/0/1 GE0/0/2(D) 83 
E:2012-04-01 17:22:44 


Total items on slot 0: 1 


骗 "、“ARP 攻 击 ” 这 几 个 新 的 术语 ， 而 且 就 是 


网 ， 甚 至 导致 设备 或 者 整 网 络 竣 次 ,而 且 很 难 找到 真 


16.1 ARP 安 全 概述 
16.2 配置 防 ARP 泛 洪 ] 
16.3 配置 防 ARP 欺 骗 ] 






































16.4 ARP 安 全 配置 管理 











16.5 配置 示例 


说 到 ARP， 这 几 年 大 家 一 定 非 常熟 悉 了 ， 

















人 


址 ) 的 协议 。ARP 协 议 有 简单 、 易 用 的 优点 ， 但 是 也 因为 其 没有 任何 安全 认证 机 制 而 容易 被 攻击 者 利用 。 
已 经 成 为 局 域 网 安全 的 一 大 威胁 ， 为 了 避免 名 种 攻击 带 来 的 危害 ， 华 为 系列 
机 提供 了 多 种 技术 对 攻击 进行 检测 和 解决 ， 这 就 是 本 章 要 介绍 的 主题 。 

ARP 安 全 是 针对 ARP 攻 了 
等 措施 来 保 订 
攻 训 





由 主机 的 ARP 表 项 ， 造 成 
或 主机 欺骗 攻击 。 本 章 要 全 
体 ARP 安 全 特性 及 配置 与 管理 





































































































j 户 无 法 上 网 ， 或 者 网 络 中 无 法 了 


A 





面 介绍 华为 $ 系 刀 


























16.1 ARP 安 全 概述 





目前 ARP 攻 击 和 ARP 病 毒 


被 无 效 的 ARP 表 项 耗 尽 〈 
上 没有 对 应 的 ARP 映 射 表 项 
项 ， 最 终 导致 正常 用 户 的 通信 被 中 断 。 
描 本 网 段 主机 或 者 进行 跨 网 段 扫描 时 ， 会 向 设备 发 送 大量 目 





广播 大 量 ARP 请 求 报 文 以 对 目 旧 


造 的 ARP 请 求 报 文 或 ARP 应 答 # 








方法 。 









































下 了 可 乘 之 机 。 














第 16 章 ”ARP 安 置 与 管理 
击 
击 
丸 为 我 们 在 日 常 的 网 络 中 经 常 提 到 “ARP 病 毒 "”、“ARP 欺 
文 小 小 的 ARP 协 议 经 常 令 我 们 的 网 络 莫名 其 妙 地 奇 慢 、 上 不 了 

















E 的 原 凶 。 有 抓 包 经 验 的 朋友 记忆 最 深 的 可 能 就 是 在 
进行 故障 排除 时 ， 经 常 发 现 大 量 源 耳 地 址 或 者 MAC 地 址 根本 不 是 本 地 网 络 的 广播 包 或 帧 ， 或 者 发 现 网 关 的 
MAC 地 址 被 非法 地 改 了 ， 甚 至 出 现 源 或 目的 IP 地 址 、MAC 地 址 全 为 0 的 包 ， 
本 身 没 有 一 个 安全 认证 机 制 ， 给 恶意 攻击 者 留 
总 的 来 说 ， 在 ARP 安 全 方面 的 隐患 前 





ee 。 这 一 切 都 是 因为 ARP 协 议 


i 是 两 个 :一 是 利用 非法 、 无 效 的 伪造 源 /目的 IP 地 址 或 者 源 MAC 地 
丰 发 送 大 量 ARP 报 文 ， 至 于 设备 或 者 服务 器 无 力 承受 而 最 终 出 现 网络 速 度 非常 慢 ， 或 者 中 断 ， 这 就 是 通常 
所 说 的 ARP 泛 洪 攻击 或 者 ARP DoS 攻 击 ; 二 是 利用 伪造 的 耳 地 址 或 者 MAC 地 址 非法 修改 网 关 或 者 网 络 ! 


























其 











E 确 访问 这 些 主机 ， 这 就 是 通常 所 说 的 ARP 网 关 
| 交换 机 中 针对 以 上 两 方面 的 ARP 安 全 隐患 而 专门 推出 的 许多 具 


























ARP (Address Resolution Protocol， 地 址 解析 协议 ) 是 将 他 地 址 解析 为 以 太 网 MAC 地 址 (或 称 物理 地 










































































站 























的 一 种 安全 特性 。 





它 通过 

















系列 对 ARP 表 项 学 习 和 ARP 报 文 处 理 的 限 介 
F 网 络 设备 的 安全 性 。ARP 安 全 特性 不 仅 能 够 防范 针对 ARP 协 议 的 攻击 ， 还 可 以 防范 网 段 扫 描 
和 等 基 于 ARP 协 议 的 攻击 。 常 见 的 ARP 攻 击 方式 主要 包括 以 下 两 种 。 

(1) ARP 泛 洪 攻击 ， 也 叫 DoS (Denial of Service， 才 















































交换 





1、 检 查 



































E 绝 服务 ) 攻击 ， 主 要 采用 以 下 两 种 攻击 方式 。 











GD 攻击 者 通过 伪造 大 量 源 IP 地 址 变化 的 ARP 报 文 〈 以 广播 方式 发 送 ) ， 使 得 设备 ARP 映 射 表 缓存 资源 











为 设备 在 接收 到 ARP 报 文 后 会 提取 报 文 ! 















































G@) 攻击 者 利 ) 





工具 扫 




















就 会 生成 新 的 ARP 了 上 映 射 表 项 ) ， 造 成 合法 用 









































的 源 IP 地 址 和 源 MAC 地 址 ， 如 果 设 备 
户 的 ARP 报 文 不 能 继续 生成 ARP 表 











的 IP 地 址 不 能 解析 





的 耳 报 文 ， 导 致 设备 触发 大 量 ARP Miss (ARP 表 项 丢失 ) 消息 ， 生 成 并 下 发 大 量 临 时 ARP 表 项 ， 然 后 还 会 
的 IP 地 址 进行 解析 ， 从 而 造成 CPU 负 荷 过 重 














直到 次 疾 。 














(2) ARP 欺 骗 攻 击 ， 是 指 攻 击 者 通过 发 送 伪 造 的 ARP 报 文 (可 以 是 伪造 的 免费 ARP 报 文 ， 也 可 以 是 伪 























及 文 》， 非 法 修改 设备 或 网 络 内 其 他 用 户主 机 的 ARP 表 项 ， 造 成 用 





户 或 网 络 








的 报 文通 信和 异常 。 
为 了 避免 上 述 各 种 ARP 攻 击 带 来 的 危害 ， 华 为 $ 系 列 交换 机 提供 了 全 方位 针对 ARP 攻 击 进行 防范 、 检 测 
和 解决 的 安全 特性 (大 多 数 是 在 网 关 设 备 上 部 署 的 ) ， 有 具体 如 表 16-1 所 示 。 












































表 16-1 针对 泛 洪 和 欺骗 攻击 的 ARP 安 全 特性 











攻击 类 型 | 安全 特性 功能 说 明 部 署 位 置 

通过 限制 接口 接收 ARP 报 文 的 速率 (可 以 基 | 建议 在 网 关 设 备 上 部 署 。 
于 ARP 报 文中 的 源 瑟 地 址 或 源 MAC 地 址 进 | 但 当 接 入 设备 上 部 署 了 
ARP 行 ARP 报 文 限 速 ， 也 可 基于 全 局 、VLAN 或 | MFF (MAC 地 址 强制 转 
报 文 限 速 | 者 接口 进行 ARP 报 文 限 速配 置 ), 可 以 防止 设 | 发 ) 特性 时 ， 可 在 接 入 设 
备 因 处 理 大量 ARP 报 文 而 导致 CPU 负荷 过 重 | 备 上 针对 全 局 、VLAN 和 
而 无 法 处 理 其 他 业务 的 现象 发 生 接口 上 部 署 

ARP 泛 洪 配置 ARP 报 文 源 ( 指 ARP 报 文中 的 源 卫 地址 或 
源 MAC 地 址 ) 抑制 功能 后 ， 可 使 当 设 备 在 一 段 
时 间 内 收 到 某 一 源 人 P 地 址 或 者 源 MAC 的 ARP 
报 文 数目 超过 设 定 阔 值 时 ， 不 再 处 理 超出 阔 值 部 | 建议 在 网 关 设 备 上 部 署 
分 的 ARP 请 求 报 文 ， 可 以 防止 设置 因 处 理 大 量 
某 一 源 瑟 地 址 或 者 源 MAC 的 ARP 报 文 而 致 
CPU 负荷 过 重 而 无 法 处 理 其 他 业务 的 现象 发 生 




















ARP 报 文 
源 抑制 




















( 续 表 ) 


ARP 泛 洪 


ARP 表 项 
固化 
(也 称 “ 防 
止 ARP 地 
址 欺骗 


通过 对 发 送 ARP Miss 消息 进行 限 速 ， 可 以 防 
止 设 备 因 收 到 大 量 目 的 他 不 能 解析 的 IP 报 文 
而 短 时 间 内 触发 大 最 ARP Miss 消息 导致 CPU 
人 负荷 过 重 而 无 法 处 理 其 他 业务 的 现象 发 生 
配置 ARP Miss 消息 源 〈 仅 指 ARP Miss 消息 
中 的 源 IP 地 址 ) 换 制 功能 后 ， 如 果 一 个 源 IP 
地 址 在 一 定时 间 内 不 断 触 发 ARP Miss 消息 ， 
当 其 速率 超过 了 设 定 的 阅 值 后 , 设备 就 认为 此 
IP 地 址 在 进行 攻击 。 此 时 ， 对 于 前 16 个 攻击 
源 ， 设 备 将 下 发 ACL 规则 ， 在 后 续 的 一 段 时 
间 内 把 这 个 地 址 发 出 的 IP 报 文 丢弃 对 于 之 
后 的 攻击 淹 ， 设 备 使 用 设 定 的 阔 值 对 IP 报 文 
进行 抑制 ;这 样 可 以 防止 设备 因 收 到 某 个 源 IP 
发 送 的 大 量 目的 IP 不 能 解析 的 IP 报 文 , 触发 
大 量 ARP Miss 消息 , 导致 CPU 负荷 过 重 而 无 
法 处 理 其 他 业务 的 现象 发 生 

免费 ARP 报 文 是 指 源 IP 地 址 和 目的 JP 地 址 
均 为 发 送 设备 IP 地 址 的 ARP 报 文 ， 主 要 用 
来 通知 其 他 设备 更 新 针对 自己 的 ARP 表 项 。 
使 能 免费 ARP 报 文 主动 丢弃 功能 后 , 设备 直 
接 丢 弃 免 费 ARP 报 文 , 可 以 防止 设备 因 处 理 
大 量 免费 ARP 报 文 ， 导致 CPU 负荷 过 重 而 
无 法 处 理 其 他 业务 的 现象 发 生 


使 能 ARP 表 项 严格 学 习 功 能 后 ， 只 有 本 设备 主 
动 发 送 的 ARP 请 求 报 文 的 应 答 报 文才 能 触发 本 
设备 学 习 ARP， 其 他 设备 主动 向 本 设备 发 送 的 
ARP 报 文 不 能 触发 本 设备 学 习 ARP， 这 可 以 防 
止 设备 的 缓存 空间 被 无 效 的 ARP 表 项 占 满 


使 能 ARP 表 项 限制 功能 后 ， 设 备 接口 只 能 学 习 
到 设 定 的 最 大 动态 ARP 表 项 数目 ， 这 样 可 以 防 
止 当 一 个 接口 所 接 入 的 某 一 台 用 户主 机 发 起 
ARP 攻击 时 整个 设备 的 ARP 表 资 源 都 被 耗 尽 
使 能 ARP 表 项 固化 功能 后 ， 设 备 在 第 一 次 学 习 到 
ARP 表 项 后 不 再 允许 用 户 更 新 此 ARP 表 项 , 或 只 
能 更 新 此 ARP 表 项 的 部 分 信息 ， 或 者 需要 通过 发 
送 ARP 请 求 报 文 的 方式 进行 确认 ， 以 防止 攻击 者 
伪造 ARP 报 文 修改 正常 用 户 的 ARP 表 项 内 容 
设备 提供 三 种 模式 防御 ARP 地 址 欺骗 攻击 : 
fixed-all 模式 、fixed-mac 模式 和 send-ack 模式 
使 能 动态 ARP 检测 Dynamic ARP Inspeetion， 
DAI) 功能 后 ， 当 设备 收 到 ARP 报 文 时 ， 将 此 
ARP 报 文 的 源 趾 地 址 . 源 MAC 地 址 、 收 到 ARP 
报 文 的 接口 及 VLAN 信息 和 DHCP Snooping 绑 
定 表 的 信息 进行 比较 ， 如 果 信 息 匹 配 则 认为 是 
合法 用 户 ， 允 许 此 用 户 的 ARP 报 文通 过 ， 否 则 
认为 是 攻击 ， 丢 弃 该 ARP 报 文 

本 功能 仅 适用 于 DHCP Snooping 场景 


建议 在 网 关 设备 上 部 团 


建议 在 网 关 设 备 上 部 署 
( 仅 S7700/9300/9300E/ 
9700 系列 交换 机 支持 ) 


建议 在 网 关 设备 上 部 署 


建议 在 接 入 设备 上 部 
区 。 但 当 网 关 设 备 上 部 
团 了 DHCP 触 发 ARP 学 
习 特 性 时 ， 则 需要 在 网 
关 设备 上 部 署 





攻击 类 型 | 安全 特性 功能 说 明 
通过 ARP 防 网 关 冲 突 功能 ， 可 以 防止 用 户 仿冒 
网 关 发 送 ARP 报 文 ， 非 法 修改 网 络 内 其 他 用 户 | 建议 在 网 关 设备 上 部 署 
的 ARP 表 项 
使 能 免费 ARP 报 文 主动 丢弃 功能 后 ， 设 备 直接 | 建议 在 网 关 设备 上 部 团 
丢弃 免费 ARP 报 文 ， 可 以 防止 非法 修改 网 关 或 | ( 仅 S7700/9300/9300E/ 
用 户主 机 的 ARP 表 项 9700 系列 交换 机 支持 ) 
使 能 发 送 免费 ARP 报 文 功能 后 ， 网 关 设备 主动 
向 用 户 发 送 以 自己 下 地 址 为 目的 下 地 址 的 ARP 
请 求 报 文 ,定时 更 新 用 户 ARP 表 项 的 网 关 MAC 
地 址 ， 防 止 用 户 的 报 文 不 能 正常 地 转发 到 网 关 
或 者 被 巧 意 攻击 者 窗 听 建议 在 网 关 设备 上 部 署 
通过 ARP 报 文 内 MAC 地 址 一 致 性 检查 功能 ， 
可 以 防止 以 太 网 数据 帧 头 部 中 的 源 /目的 MAC 
地 址 和 ARP 报 文 数据 区 中 的 源 /目的 MAC 地 址 
不 一 致 的 ARP 欺骗 攻击 








使 能 ARP 报 文 合法 性 检查 功能 后 ， 设 备 会 对 
MAC 地 址 和 下 地 址 不 合法 的 报 文 进行 过 滤 。 设 | 建议 在 网 关 设 备 或 接 入 
备 提供 3 种 检查 模式 : 源 MAC 地 址 、 目 的 MAC | 设备 上 部 署 


地 址 和 下 地 址 检查 模式 

使 能 ARP 表 项 严格 学 习 功能 后 ， 只 有 本 设备 
主动 发 送 的 ARP 请 求 报 文 的 应 答 报 文才 能 触 
发 本 设备 学 习 ARP， 其 他 设备 主动 向 本 设备 
发 送 的 ARP 报 文 不 能 触发 本 设备 学 习 ARP。 
这 可 以 防止 设备 因 收 到 伪造 的 ARP 报 文 ， 错 
误 地 更 新 ARP 表 项 ， 导 致 合法 用 户 的 通信 流 
量 发 生 中 断 

使 能 DHCP 触发 ARP 学 习 功 能 后 ， 设 备 根据 | 建议 在 网 关 设备 上 部 团 
收 到 的 DHCP ACK 报 文 直接 生成 ARP 表 项 。 
当 DHCP 用 户 数目 很 大 时 ， 可 以 避免 大 规模 
ARP 表 项 的 学 习 和 老化 对 设备 性 能 和 网 络 环 
境 形成 的 冲击 

此 时 设备 上 还 可 同时 部 署 动态 ARP 检测 功能 ， 
防止 DHCP 用 户 的 ARP 表 项 被 伪造 的 ARP 报 
文 亚 意 修改 





























ARP 泛 洪 攻击 的 基本 思想 就 是 发 送 大 量 的 ARP 报 文 ， 这 样 一 方面 可 以 使 设备 中 用 于 缓存 ARP 表 的 内 存 
资源 被 无 效 ARP 表 项 耗 尽 ， 另 一 方面 可 能 会 使 设备 的 CPU 负荷 过 重 造成 用 户 无 法 正常 通信 。 攻 击 者 可 能 
来 进行 ARP 泛 洪 攻击 的 报 文 包括 ARP 请 求 /应 答 报 文 、ARP Miss 消 息 、 免 费 ARP 报 文 。 表 16-2 分 析 了 不 同 
报 文 类 型 的 攻击 方式 和 可 用 的 ARP 安 全 特性 解决 方案 。 当 然 ， 并 不 是 所 有 情况 下 都 需要 配置 全 部 的 ARP 安 
全 特性 ， 可 根据 实际 选择 其 中 一 种 或 多 种 进行 配置 。 









































表 16-2 ARP 泛 洪 攻击 方式 及 解决 方案 


攻击 方式 解决 方案 
可 采用 的 具体 措施 包括 以 下 儿 种 。 
(1) ARP 报 文 限 速 : 可 基于 源 MAC 地 址 、 源 IP 地 
址 对 ARP 报 文 进行 限 速 ， 也 可 基于 全 局 、VLAN 或 
接口 进行 ARP 报 文 限 速 。 具 体 见 16.2.1、16.2.2 和 
16.2.3 节 
攻击 者 发 送 大 量 的 ARP 请 求 | (2) ARP 表 项 限制 ， 限制 接口 能 够 学 习 到 的 最 大 动态 
应 答 报 文 ， 造 成 设备 CPU 资 | ARP 表 项 数目 ， 抑 制 攻 击 端口 接收 的 ARP 请 求 /应 答 
源 占用 过 高 和 ARP 表 项 溢出 | 报 文 时 更 新 ARP 表 项 。 具 体 见 16.2.8 节 
(3) ARP 表 项 严格 学 习 : 使 具有 本 设备 主动 发 送 的 
ARP 请 求 报 文 的 应 答 报 文才 能 触发 本 设备 学 习 ARP 
表 项 , 其 他 设备 主动 向 本 设备 发 送 的 ARP 报 文 不 能 触 
发 本 设备 学 习 ARP 表 项 ,这 样 可 以 拒绝 大 部 分 的 ARP 
报 文 攻击 。 具 体 见 16.2.7 节 
可 采用 的 具体 措施 包括 以 下 儿 种 。 
攻击 者 使 用 大 量 找 不 到 目的 | (1) ARP Miss 消息 源 抑制 : 可 基于 源 MAC 地 址 、 源 
MAC 地 址 的 扫描 耳 报 文 攻 击 | IP 地 址 对 ARP Miss 消息 进行 抑制 。 具 体 见 16.2.4 节 
设备 ， 造 成 设备 产生 大 量 的 | (2) ARP Miss 消息 上 基于 全 局 、VLAN 或 者 接口 
ARP Miss 消息 ， 生 成 ARP 临 | 进行 ARP Miss 消息 限 速 。 具 体 见 16.2.5 节 
时 表 项 (3) 配 置 ARP 临时 表 项 老化 时 间 : 使 超时 的 ARP Miss 
报 文 设备 不 再 处 理 。 具 体 见 16.2.6 节 
免费 ARP 是 用 于 帮助 作为 网 
关 的 设备 及 时 向 VLAN 内 的 
主机 更 新 MAC 地 址 信息 ， 防 | 可 采取 的 具体 措施 为 主动 丢弃 免费 ARP 报 文 ( 仅 
止 对 主机 网 关 MAC 地 址 的 恶 | S7700/9300/9300E/9700 系列 交换 机 支持 ) 。 具 体 见 
意 算 改 。 但 是 ， 如 果 攻 击 者 伪 | 16.2.9 节 
造 大 量 的 免费 ARP 报 文 可 能 
造成 设备 CPU 资源 占用 过 高 





ARP 请 求 
应 答 报 文 











免费 ARP 
报 文 





说 明 

当 基 于 全 局 、VLAN、 接 口 的 ARP 报 文 限 速 以 及 基于 源 MAC 地 址 、 源 JP 地 址 进 行 ARP 报 文 限 速 中 的 多 
个 限 速 功能 同时 配置 时 ， 设 备 对 同时 满足 这 些 限 速 条 件 的 ARP 报 文 以 其 中 最 小 的 限 速 值 进 行 限 速 。 

当 基 于 全 局 、VLAN、 接 口 的 ARP Miss 消 息 限 速 以 及 基于 源 PP 地址 进行 ARP Miss 消 息 限 速 中 的 多 个 限 
速 功 能 同时 配置 时 ， 设 备 对 同时 满足 这 些 限 速 条 件 的 ARP Miss 消 息 以 其 中 最 小 的 限 速 值 进行 限 速 。 



























































16.2.1 配置 基于 源 MAC 地 址 的 ARP 报 文 限 速 























设备 处 理 大 量 源 MAC 地 址 相对 固定 的 ARP 报 文 会 造成 CPU 繁忙 ， 并 且 如 果 ARP 报 文 的 源 了 下地 址 同时 不 
断 变化 ， 还 会 导致 设备 的 ARP 表 资源 被 耗 尽 。 为 了 避免 此 问题 ， 可 以 配置 设备 根据 源 MAC 地 址 进行 ARP 报 
文 限 速 。 设 备 会 对 上 送 CPU 的 ARP 报 文 根 据 源 MAC 地 址 进行 统计 ， 如 果 在 1s 内 收 到 的 同一 个 源 MAC 地 址 的 
ARP 报 文 超 过 设 定 阔 值 (ARP 报 文 限 速 值 ) ， 设 备 则 丢弃 超出 阔 值 部 分 的 ARP 报 文 。 

说 明 

本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、 S2700-52P-PWR-EI 以 外 
的 S2700EI 子 系列 均 不 支持 ， 在 S5700 系 列 中 ， 除 S5700HI 和 S5710EI 子 系列 外 的 其 他 型 号 均 不 支持 ， 其 他 系 
列 均 支 持 。 
基于 源 MAC 地 址 的 ARP 报 文 限 速 的 具体 配置 步骤 如 表 16-3 所 示 。 






























































表 16-3 基于 源 MAC 地 址 的 ARP 报 文 限 速配 置 步 又 























步骤 命令 说 明 
system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 


配置 针对 所 有 源 MAC 地 址 的 ARP 报 文 源 抑制 速率 

数 maximum 用 来 限定 基于 源 MAC 地 址 的 ARP 报 文 速率 ， 

Ee 单位 是 pps( 每 秒 多 少 个 报 文 )。 在 取 值 范围 上 ， 不同 系列 

Dee ena 不 太一 样 : S3700 系列 的 取 值 范围 为 0 一 1 024 的 整数 ， 其 
和 i g ee 

例如 : [HUAWEI arp je 的 整数 。 如 果 取 值 为 0， 表 示 不 进行 

rim 缺 省 情况 下 , 设备 对 每 一 个 源 MAC 地 址 的 ARP 报 文 速率 

限制 为 0， 即 不 根据 源 MAC 地 址 进行 ARP 报 文 限 速 ， 可 

用 undo arp speed-limit source-mae 命令 将 根据 源 MAC 

地 址 进行 ARP 限 速 的 配置 恢复 为 缺 省 配置 

(可 选 ) 配置 针对 指定 源 MAC 地 址 的 ARP 报 文 源 抑制 速 

率 。 命 令 中 的 参数 说 明 如 下 。 

(1)mac_addr: 指定 要 进行 ARP 报 文 限 速 的 源 MAC 地 址 ， 

格式 为 H-H-H， 其 中 H 为 4 位 的 十 六 进 制 数 。 取 值 为 所 

有 合法 的 单 播 MAC 地 址 

arp speed-limit source-mac (2) maximum: 指定 对 应 源 MAC 地 址 的 ARP 报 文 限制 的 

mac_addr maximum maximum 速率 与 上 - 步 的 该 参 数 说 明 - 样 

Se AE me 【说 明 】 对 指定 了 源 MAC 地 址 的 ARP 报 文 源 抑 制 速率 为 

和 0 本 步骤 配置 的 maximum 值 ; 其 他 源 MAC 地 址 的 ARP 报 

文 源 抑 制 速 率 为 步骤 2 中 配置 的 maximum 值 

缺 省 情况 下 ， 所 有 MAC 地 址 的 ARP 报 文 源 抑制 速率 为 

0pps， 即 不 对 ARP 报 文 进行 源 抑制 ， 可 用 undo arp 

speed-limit source-mac mac_addr 命令 将 针对 指定 源 MAC 

地 址 的 ARP 限 速 配置 恢复 为 缺 省 配置 

















16.2.2 配置 基于 源 IP 地 址 ARP 报 文 限 速 























与 上 节 类 似 ， 但 本 节 介 绍 的 ARP 报 文 限 速 是 针对 源 IP 地 址 相对 固定 〈 上 节 中 介绍 的 是 源 MAC 地 址 相对 
固定 ) 的 ARP 报 文 ， 会 造成 CPU 繁忙 ， 影 响 到 正常 业务 的 处 理 。 为 了 避免 此 问题 ， 可 以 配置 设备 根据 源 IP 
地 址 进行 ARP 报 文 限 速 。 设 备 会 对 上 送 CPU 的 ARP 报 文 根 据 源 了 地 址 进行 统计 ， 如 果 在 1s 内 收 到 的 同一 个 源 
IP 地 址 的 ARP 报 文 超过 设 定 闵 值 ， 则 丢弃 超出 闵 值 部 分 的 ARP 报 文 。 

说 明 

本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、S2700-52P-PWR-EI 以 外 的 
S2700EI 子 系列 均 不 支持 ;在 S5700 系 列 中 ， 除 S5700HI 和 S5710EI 子 系列 外 的 其 他 型 号 均 不 支持 ， 其 他 系列 
均 支 持 。 
基于 源 IP 地 址 的 ARP 报 文 限 速 的 具体 配置 步骤 如 表 16-4 所 示 。 它 与 上 节 介绍 的 基于 源 MAC 地 址 的 ARP 
报 文 限 速配 置 基本 一 样 。 
























































表 16-4 基于 源 IP 地 址 的 ARP 报 文 限 速配 置 步骤 




















System-view 
例如 : <HUAWEI> system-view 





进入 系统 视图 





iD 


arp speed-limit source-ip 
maximum maximum 
例如 : [HUAWEI] arp 
speed-limit Source-ip 
maximum 100 


配置 针对 所 有 源 IP 地 址 的 ARP 报 文 源 抑 制 速率 ， 参 数 
maximum 用 来 限定 基于 源 IP 地 址 的 ARP 报 文 速率 ， 单 位 是 
pps。S3700 系列 的 取 值 范围 为 0 一 1024， 其 他 系列 为 0 一 
16384。 如 果 取 值 为 0， 表 示 不 进行 ARP 报 文 源 抑制 

缺 省 情况 下 ，S2700/3700/5700/6700 系列 交换 机 对 每 一 个 
源 卫 地 址 的 ARP 报 文 速率 限制 为 0， 即 不 根据 源 MAC 
地 址 进行 ARP 报 文 限 速 ， 而 S7700/9300/9300E/9700 系列 
交换 机 允许 1s 内 最 多 只 能 有 30 个 同一 个 源 人 P 地 址 的 ARP 
报 文通 过 ， 可 用 undo arp speed-limit source-ip 命令 将 根 
据 源 人 P 地 址 进行 ARP 限 速 的 配置 恢复 为 缺 省 配置 











arp speed-limit source-ip 
ip-address maximum maximum 
例如 : [HUAWEI] arp 
speed-limit source-ip 
192.168.10.1 maximum 50 





(可 选 ) 配置 针对 指定 IP 地 址 的 ARP 报 文 源 抑制 速率 。 
命令 中 的 参数 说 明 如 下 。 

(1) ip-address: 指定 要 进行 ARP 报 文 限 速 的 源 IP 地 址 ， 
点 分 十 进 制 格式 

(2) maximum: 指定 对 应 源 IP 地 址 的 ARP 报 文 限制 的 速 
率 ， 与 上 一 步 的 该 参数 说 明 一 样 

【说 明 】〗 对 指定 了 源 IP 地 址 的 ARP 报 文 源 抑制 速率 为 本 
步骤 配置 的 maximum 值 ; 其 他 源 IP 地 址 的 ARP 报 文 源 抑 
制 速 率 为 步骤 2 中 配置 的 maximum 值 

缺 省 情况 下 , S2700/3700/5700/6700 系列 交换 机 对 每 一 个 源 
IP 地 址 的 ARP 报 文 速率 限制 为 0， 即 不 根据 源 MAC 地 址 
进行 ARP 报 文 限 速 ， 而 S7700/9300/9300E/9700 系列 交换 
机 允许 1s 内 最 多 只 能 有 30 个 同一 个 源 他 地 址 的 ARP 报 文 


通过 ， 可 用 undo arp speed-limit source-ip ip-address 命令 
将 针对 指定 源 IP 地 址 的 ARP 限 速配 置 恢复 为 缺 省 配置 





16.2.3 配置 基于 全 局 、VLAN 或 者 接口 的 ARP 报 文 限 速 

















在 ARP 泛 洪 攻击 的 报 文中 ， 如 果 源 MAC 地 址 ， 或 者 源 耻 地 址 都 不 是 相对 固定 的 情况 下 ， 可 以 在 全 局 、 
VLAN 或 接口 下 配置 针对 所 有 ARP 报 文 的 限 速 和 限 速 时 间 。 在 ARP 报 文 限 速 时 间 内 ， 如 果 收 到 的 所 有 ARP 
报 文 数目 超过 ARP 报 文 限 速 值 ， 设 备 会 丢弃 超出 限 速 值 的 ARP 报 文 。 

(1) 全 局 的 ARP 报 文 限 速 : 在 设备 出 现 ARP 攻 击 时 ， 需 要 限制 全 局 处 理 的 ARP 报 文 数 量 〈 是 指 设备 各 
个 接口 上 接收 到 的 ARP 报 文 的 总 数 ) 。 

(2) VLAN 的 ARP 报 文 限 速 : 在 某 个 VLAN 内 的 所 有 接口 出 现 ARP 攻 击 时 ， 可 以 仅 限制 处 理 收 到 的 该 
VLAN 内 的 ARP 报 文 数量 ， 配 置 本 功能 可 以 保证 不 影响 其 他 VLAN 内 所 有 接口 的 ARP 学 习 。 

(3) 接口 的 ARP 报 文 限 速 : 在 某 个 接口 出 现 ARP 攻 击 时 ， 可 以 仅 限制 处 理 该 接口 〈 可 以 是 各 种 以 太 网 
接口 ， 也 可 以 是 Eth-Trunk 接 口 ， 还 可 以 是 端口 组 ) 收 到 的 ARP 报 文 数 量 ， 配 置 本 功能 可 以 保证 不 影响 其 
他 接口 的 ARP 学 习 。 

当 同 时 在 全 局 、VLAN 或 接口 下 配置 ARP 报 文 的 限 速 值 和 限 速 时 间 时 ， 设 备 会 先 按 照 接口 进行 限 速 ， 再 
按照 YLAN 进 行 限 速 ， 最 后 按照 全 局 进行 限 速 。 当 设备 丢弃 的 ARP 报 文 数量 较 多 时 ， 如 果 希 望 设备 能 够 以 告 
警 的 方式 提醒 网 络 管理 员 ， 则 还 可 以 使 能 ARP 报 文 限 速 丢弃 告警 功能 。 当 丢弃 的 ARP 报 文 数 超过 告警 阔 值 
时 ， 设 备 将 产生 告警 。 

说 明 

本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、 
的 S2700EI 子 系列 ， 以 及 S5700LI 和 S5700S-LI 子 系列 均 不 支持 ， 其 他 系列 均 支 持 。 
基于 全 局 、VLAN 或 接口 的 ARP 报 文 限 速 的 具体 配置 步骤 如 表 16-5 所 示 。 这 几 种 针对 不 同 范围 的 ARP 报 
文 限 速配 置 之 间 的 主要 区 别 就 是 配置 所 在 视图 不 一 样 ， 主 要 配置 命令 完全 一 样 。 































































































































































































S2700-52P-PWR-EI 以 外 

































































表 16-5 基于 全 局 、VLAN 或 者 接 





的 ARP 报 文 限 速配 置 步 又 





EE 


进入 系统 视图 


system-view 

例如 : <HUAWEI> system-view 
interface interface-1ype interface-number 
例如 : [HUAWEI] interface gigabitethernet 
2 1/0/0 

或 : vlan vian-id 

例如 : [HUAWEI] vlan 100 





(可 选 ) 键入 要 配置 ARP 报 文 限 速 的 接口 ， 进 入 
接口 视图 ， 或 者 键入 要 配置 ARP 报 实 限 这 的 
VLAN， 进入 VLAN 视图 

【说 明 】 在 系统 视图 下 配置 ARP 报 文 限 述 功能 无 
需 执 行 此 步 陵 





arp anti-attack rate-limit enable 
例如 : [HUAWEI] arp anti-attack 
rate-limit enable 

3 或 : [HUAWEI-GigabitEthernetl/0/0] arp 
anti-attack rate-limit enable 
或 : [HUAWEI-Vlanif100] arp anti-attack 
rate-limit enable 


在 全 局 ,或 者 VLAN,， 或 者 接口 上 使 能 ARP 报 文 
限 速 功能 。 缺 省 情况 下 ， 没 有 使 能 ARP 报 文 限 速 
功能 , 可 用 undo arp anti-attack rate-limit enable 
命令 去 使 能 ARP 报 文 速率 抑制 功能 





基于 全 局 或 VLAN 配置 时 : 

arp anti-attack rate-limit packet-mumber 

[interval-value ] 

例如 : [HUAWEI] arp anti-attack 

rate-limit 200 20 

或 : [HUAWEI-Vlanifl00] arp anti-attack 
4 rate-limit 200 20 

基于 接口 配置 时 : 

arp anti-attack rate-limit packet-numpber 

[ interval-value | block timer timer ]” 

例如 :， [HUAWEI-GigabitEthernet1/0/0] 

arp anti-attack rate-limit 200 20 block 

timer 60 


在 全 局 、VLAN 或 接口 下 配置 ARP 报 文 的 速率 抑制 
功能 ， 包 括 配置 ARP 报 文 的 限 速 值 和 限 速 时 间 ， 以 
及 当 某 个 接口 的 ARP 报 文 超过 限 速 值 时 ， 在 后 续 一 
段 时 间 内 持续 丢弃 该 接口 下 收 到 的 所 有 ARP 报 文 的 
功能 ( 即 开 启 block 模式 ) 。 命令 中 的 参数 说 明 如 下 。 
(1) packet-number: 指定 ARP 报 文 的 限 速 值 ， 即 
限 速 时 间 内 允许 通过 的 ARP 报 文 的 个 数 , 取 值 范 
围 1 一 16 384 的 整数 ， 缺 省 值 为 100 

(2) imerval-value: 可 多 选 参数 ， 指定 ARP 报 文 的 限 
速 时 间 ， 取 值 范围 1 一 86 400 的 整数 秒 ， 缺 省 值 为 1s 
(3) block timer Limer: 可 多 选 参 数 ， 仅 在 接口 下 
配置 时 选用 ,用 十 指定 持续 丢弃 超过 ARP 报 文 限 
速 值 的 接口 下 收 到 的 所 有 ARP 报 文 的 时 长 , 取 值 
范围 1 一 86 400 的 整数 秒 ， 缺 省 值 为 1s。 但 系统 
视图 和 VLAN 视图 下 不 支持 该 参数 ，S2700/3700 
系列 交换 机 不 支持 该 参数 

【说 明 】〗 该 命令 在 非 block 模式 下 只 对 上 送 CPU 
的 ARP 报 文 进行 限 加 ,对 泥 片 转发 的 报 文 不 会 产 
生 影 响 ; 在 block 模式 下 ， 仅 在 接口 下 上 送 CPU 
的 ARP 报 文 超过 限 速 值 时 会 击发 block， 和 触发 后 
设备 会 持续 丢 齐 该 接口 下 的 所 有 ARP 报 文 
缺 省 情况 下 ， 在 1s 内 最 多 允许 100 个 ARP 报 文 
通过 ， 且 没有 配置 当 某 个 接口 的 ARP 报 文 超过 限 
速 值 时 在 后 续 一 段 时 间 内 持续 丢弃 该 接口 下 收 到 
的 所 有 ARP 报 文 的 功能 ， 可 用 undo arp 
anti-attack rate-limit 命令 将 全 局 、VLAN 或 接口 
FF 配置 的 ARP 报 文 的 限 速 值 和 限 速 时 间 恢 复 为 缺 
省 值 ， 并 恢复 ARP 报 文 的 上 送 





命令 





说 明 





arp anti-attack rate-limit alarm enable 
例如 : [HUAWEI] arp anti-attack 
rate-limit alarm enable 

或 : [HUAWEI-GigabitEthernetl/0/0]arp 
anti-attack rate-limit alarm enable 

或 : [HUAWEI-Vlanif100] arp anti-attack 
rate-limit alarm enable 


arp anti-attack rate-limit alarm threshold 


threshold 

例如 : [HUAWEI arp anti-attack 
rate-limit alarm threshold 200 

或 : [HUAWEI-GigabitEthernet1/0/0]Jarp 
anti-attack rate-limit alarm threshold 100 
或 : [HUAWEI-Vlanif100]arp anti-attack 
rate-limit alarm threshold 100 


〈 可 选 ) 在 全 局 、VLAN 或 接口 下 使 能 ARP 报 文 
限 速 丢弃 告警 功能 。 这 样 ， 当 丢弃 的 ARP 报 文 数 
超过 告警 阀 值 时 ， 设 备 将 产生 告警 

缺 省 情况 下 , 没有 使 能 ARP 报 文 限 速 丢弃 告警 功 
能 ， 可 用 undo arp anti-attack rate-limit alarm 


enable 命令 去 使 能 ARP 报 文 限 速 丢 弃 告 警 功能 


(可 选 ) 在 全 局 、VLAN 或 接口 下 配置 ARP 报 文 
限 速 丢弃 告警 闽 值 ， 取 值 范围 为 1 一 16 384 的 整 
数 。 通 过 本 命令 可 以 配置 告警 阔 值 ， 当 设备 丢弃 
因 超 过 ARP 限 速 值 的 ARP 报 文 数 超过 告警 阔 值 
时 ， 设 备 将 以 告警 的 方式 通知 网 络 管理 员 
缺 省 情况 下 ，ARP 报 文 限 速 丢弃 告警 阅 值 为 100， 
可 用 undo arp anti-attack rate-limit alarm threshold 
命令 恢复 ARP 报 文 限 速 丢弃 告警 阅 值 为 缺 省 值 





当 设 备 检测 到 某 一 源 IP 地 址 的 卫 报 文 在 1s 内 触发 的 ARP Miss 消 息 数量 超过 了 限 速 值 ， 就 认为 此 源 卫 地 


址 存在 攻击 。 这 时 ， 


ARP Miss 消 息 ， 











设备 对 ARP Miss 报 文 的 缺 省 处 理 方式 是 block 方 式 ， 即 设备 会 丢弃 超 





8 限 速 值 部 分 的 


也 就 是 丢弃 触发 这 些 ARP Miss 消 息 的 ARP Miss 报 文 ， 并 下 人 肥 “ 汉 ACT 来 和 并 该 源 下 地 业 的 
后 续 所 有 ARP Miss 报 文 ， 如 果 是 none-block 方 式 ， 设 备 只 会 丢弃 超出 限 速 值 部 分 的 ARP Miss 消 息 ， 因 此 ， 该 








方式 对 CPU 的 负担 减轻 效果 有 限 。 可 根据 实际 情况 调整 ARP Miss 消 息 的 限 速 值 并 合理 配置 ARP Miss 报 文 处 














理 方式 。 
说 明 


本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、 





的 S2700EI 子 系列 ， 以 及 S5700LI 和 S5700S-LI 子 系列 均 不 支持 ; 其 他 系列 均 支 持 。 
ARP Miss 消 息 源 抑制 功能 的 有 具体 配置 步骤 如 表 16-6 所 示 。 








表 16-6 ARP Miss 消 息 源 抑制 的 配置 步 又 


命令 





System-view 


例如 :; <HUAWEI> 
system-view 


arp-miss speed-limit 
source-ip maximum 
maximum 

2 例如 : [HUAWEI 
arp-miss speed-limit 
source-ip maximum 
100 








进入 系统 视图 





配置 针对 所 有 ARP Miss 消息 的 源 抑制 功能 ,参数 maximwum 用 来 指定 基 
于 源 卫 地址 的 ARP Miss 消息 的 抑制 速率 ， 取 值 范 围 为 0~16 384 的 
整数 。 如 果 取 值 为 0， 表示 不 根据 源 全 地 址 进行 ARP Miss 消息 限 速 
缺 省 情况 下 ，ARP Miss 消息 的 源 抑制 功能 已 经 使 能 ， 
S7700/9300/9300E/9700 系列 交换 机 允许 每 秒 最 多 处 理 30 个 
(S2700/3700/5700/6700 系列 为 500 个 ) 同一 个 源 IP 地 址 触发 的 
ARP Miss 消息 ， 如 果 同 一 个 源 卫 地 址 在 1s 内 触发 的 ARP Miss 
消息 个 数 超过 ARP Miss 消息 限 速 值 ， 设 备 会 丢弃 超过 限 速 值 的 
ARP Miss 消息 , 可 用 undo arp-miss speed-limit source- ip 命令 将 
ARP Miss 消息 源 抑制 速率 限制 恢复 为 缺 省 配置 





arp-miss speed-limit 
source-ip ip-address 

[ mask mask ]maximum 
maximum [ none-block | 
block timer timer ] 

例如 : [HUAWEI] 
arp-miss speed-limit 
source-ip 192.168.10.1 
maximum 50 





(可 选 ) 配置 针对 指定 源 耳 地 址 的 ARP Miss 消息 源 抑制 功能 ， 并 
指定 ARP Miss 报 文 处 理 方式 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
(1)ip-address: 指定 IP 地 址 ,表示 对 特定 IP 地 址 用 户 的 ARP Miss 
报 文 进行 源 速率 抑制 

(2) mask: 可 选 参数 ， 指 定 以 上 IP 地 址 的 子 网 掩 码 ， 针 对 该 网 段 
用 户 的 ARP Miss 消息 进行 限 速 

(3) maximum: 指定 基于 源 卫 地 址 的 ARP Miss 消息 限 速 值 ， 取 
值 范围 为 0 一 16 384 的 整数 。 如 果 取 值 为 0， 表示 不 根据 源 卫 地 
址 进行 ARP Miss 消息 限 速 

(4) none-block: 二 选 一 可 选项 ， 指 定 ARP Miss 报 文 处 理 方式 为 
none-block。 即 指定 源 四 地址 的 他 报 文 在 1s 内 触发 的 ARP Miss 消息 
个 数 超过 限 速 值 时 ， 设 备 只 做 软件 限 速 (CPU 处 理 )， 丢 弃 超 过 限 速 
值 的 ARP Miss 消息 ， 即 丢弃 触发 这 些 ARP Miss 消息 的 ARP Miss 报 文 
(5) block timer fimer: 二 选 一 可 选 参数 ， 指 定 ARP Miss 报 文 处 
理 方式 为 block。 即 一 旦 指定 源 PP 地 址 的 IP 报 文 在 1s 内 触发 的 
ARP Miss 消息 个 数 超过 限 速 值 ， 设 备 会 丢弃 超过 限 速 值 的 ARP 
Miss 消息 ， 即 丢弃 触发 这 些 ARP Miss 消息 的 ARP Miss 报 文 ， 同 
时 设备 会 下 发 一 个 ACL 让 芯片 在 tner 时 间 内 持续 丢弃 该 源 卫 地 
址 的 后 续 所 有 ARP Miss 报 文 。 超 过 该 时 间 后 ，ACL 将 被 老化 ， 
芯片 不 再 丢弃 报 文 ， 报 文 将 恢复 上 送 CPU 处 理 

【说 明 】 两 种 本 步 与 上 述 第 2 步 同 时 配置 ， 则 当 触 发 ARP Miss 消 
息 的 由 报 文 的 源 耻 地 址 匹配 本 步 限 速 指定 的 中 地 址 时 ,对 该 源 卫 
地 址 的 耳 报 文 击发 的 ARPMiss 消息 限 速 值 为 本 步 配 置 值 ; 否则 为 
第 2 步 中 配置 的 maximum 值 

缺 省 情况 下 ，ARP Miss 消息 的 源 抑制 功能 已 经 使 能 ， 
S7700/9300/9300E/9700 系列 交换 机 允许 每 秒 最 多 处 理 30 个 
(S2700/3700/5700/6700 系列 为 500 个 ) 同一 个 源 IP 地 址 触发 的 
ARP Miss 消息 。 如 果 同 一 个 源 IP 地 址 在 1s 内 触发 的 ARP Miss 
消息 个 数 超过 ARP Miss 消息 限 速 值 ， 设 备 会 丢弃 超过 限 速 值 的 
ARP Miss 消息 ， 并 缺 省 使 用 block 方式 在 5s 内 持续 丢弃 该 源 卫 
地 址 的 后 续 所 有 ARP Miss 报 文 ， 可 用 undo arp-miss speed-limit 
source-ip [ ip-address [ mask mask ] ] 命 令 将 根据 指定 源 IP 地 址 进 
行 ARP Miss 消息 限 速 的 配置 恢复 为 缺 省 配置 





16.2.5 配置 全 局 、VLAN 和 接口 的 ARP Miss 消 息 限 速 








S2700-52P-PWR-EI 以 外 


( 续 表 ) 


























如 果 网 络 中 有 用 户 | 

















址 对 应 的 路 由 表 项 ， 但 设备 上 没有 该 路 
Miss 消 息 。 这 种 触发 ARP Miss 消 息 的 IP# 




















可 设备 发 送 大 量 目 的 IP 地 址 不 能 解析 的 IP 报 文 ( 即 路 由 表 中 存在 该 IP 报 文 的 目的 P 地 






































| 表 项 中 下 一 跳 对 应 的 ARP 表 项 



































) ， 将 导致 设备 触发 大 量 的 ARP 
文 会 被 上 送 到 主 控 板 进行 处 理 ， 设 备 会 根据 ARP Miss 消 息 生 成 和 








下 发 大 量 临 时 ARP 表 项 并 向 目的 网 络 发 送 大 量 ARP 请 求 报 文 ， 这 样 就 增加 了 设备 CPU 的 负担 ， 同 时 严重 消 
耗 目 的 网 络 的 带宽 资源 。 
为 了 避免 这 种 IP 报 文 攻击 所 带 来 的 危害 ， 可 配置 以 下 ARP Miss 消 息 限 速 功能 。 




















(1) 全 局 的 ARP Miss 消 息 限 速 : 在 设备 











的 ARP Miss 消 息 数量 。 
(2) VLAN 的 ARP 























接口 的 人 P 报 文 转发 。 


(3) 接口 的 ARP Miss 消 息 限 速 : 在 某 个 接口 出 现 目的 IP 地 址 不 能 解析 的 IP 
时 该 接口 收 到 的 报 文 触发 的 ARP Miss 消 息 数 时 









































进行 限 速 ， 最 后 按照 全 





当 同 时 在 全 局 、VLAN 或 接口 下 配置 ARP Miss 消 





























Miss 消 息 限 速 : 在 某 个 VLAN 内 的 
时 ， 可 仅 限 制 处 理 该 VLAN 内 报 文 





8 现 目的 下地 址 不 能 解析 的 耳 报 文 攻 了 











































































































超过 告警 闹 值 时 ， 设 备 } 
说 明 


产生 千 


告警 。 








局 进行 限 速 。 当 设备 忽略 的 ARP Miss 消 ; 
方式 提醒 网 络 管理 员 ， 则 可 以 配置 ARP Miss 消 息 限 速 丢 弃 告警 功能 。 当 设备 忽略 处 到 


所 有 接口 出 现 目的 IP 地 址 不 
触发 的 ARP Miss 消 息 数量 ， 配 置 本 功能 可 以 保证 不 


解析 的 IP 报 文 攻击 


时 /人 
果 乡 





Ff 时 ， 可 限制 全 局 处 理 











响 其 他 VLAN 内 所 有 











报 文 攻击 时 ， 可 仅 限 制 处 











量 ， 配 置 本 功能 可 以 保证 不 影响 其 他 接口 的 人 P 报 文 转发 。 







































































息 限 速 时 ， 设 备 会 先 按 照 接 口 进行 限 速 ， 再 按照 VLAN 
息 数量 较 多 时 ， 如 果 希 望 设备 能 够 以 告警 的 








E 的 ARP Miss 消 息 个 数 


本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI[、S2700-52P-PWR-EI 以 外 的 
S2700EI 子 系列 ， 以 及 S5700LI 和 S5700S-LI 子 系列 不 均 支 持 ， 其 他 系列 均 支 持 。 








































































































不 一 样 ， 主 要 配置 命令 完全 一 样 。 


















































报 文 限 速配 置 基本 一 相 


#F£， 只 是 命令 名 称 上 的 少许 差别 。 























表 16-7 基于 全 局 、VLAN 或 者 接口 的 ARP Miss 限 速配 置 步 又 











命令 


说 明 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 


基于 全 局 、VLAN 或 接口 的 ARP Miss 消 息 限 速 的 具体 配置 步骤 如 表 16-7 所 示 。 这 几 种 针对 不 同 范围 的 
ARP Miss 限 速配 置 之 间 的 主要 区 别 就 是 配置 所 在 视图 
基于 全 局 、VLAN 或 接口 的 ARPj 


且 与 16.2.3 节 介绍 的 





interface interface-type interface-number 
例如 : [HUAWEI] interface gigabitethernet 
1/0/0 

或 : vlan vlan-id 

例如 : [HUAWEI] vlan 100 


(可 选 ) 键入 要 配置 ARP Miss 消息 限 速 的 接口 ， 
进入 接口 视图 ， 或 者 键入 要 配置 ARP Miss 消息 
限 速 的 VLAN， 进 入 VLAN 视图 

【说 明 】 在 系统 视图 下 配置 ARP Miss 消息 限 速 功 
能 无 需 执 行 此 步骤 





arp-miss-miss anti-attack rate-limit enable 
例如 : [HUAWEI] arp-miss-miss anti-attack 
rate-limit enable 

或 : [HUAWEI-GigabitEthernet1/0/0] 
arp-miss-miss anti-attack rate-limit enable 
或 : [HUAWEI-Vlanifl100] arp-miss-miss 
anti-attack rate-limit enable 


在 全 局 , 或 者 VLAN, 或 者 接口 上 使 能 ARP Miss 
消 能 。 缺 省 情况 下 , 没有 使 能 ARP Miss 
消息 限 速 功能 ， 可 用 undo arp-miss anti-attack 
rate-limit enable 命令 去 使 能 ARP Miss 消息 速率 
抑制 功能 











arp-miss anti-attack rate-limit 
packet-number [ interval-value ] 

例如 ，[HUAWEI] arp-miss anti-attack 
rate-limit 200 20 

或 : [HUAWEI-GigabitEthernet1/0/0] 
arp-miss anti-attack rate-limit 200 20 
block timer 60 

或 : [HUAWEI-Vlanifl00] arp-miss 
anti-attack rate-limit 200 20 





在 全 局 、VLAN 或 接口 下 配置 ARP Miss 消息 的 
速率 抑制 功能 ， 包 括 配置 ARP Miss 消息 的 限 速 
值 和 限 速 时 间 。 在 ARP Miss 消息 限 速 时 间 内 ， 
如 果 收 到 的 人 P 报 文 触发 的 ARP Miss 消息 数目 超 
过 ARP Miss 消息 限 速 值 ， 设 备 将 忽略 处 理 超出 
限 速 值 的 ARP Miss 消息 ， 并 丢弃 超出 限 速 值 的 
触发 ARP Miss 消息 的 公报 文 ( 即 ARP Miss 报 
文 )。 命 令 中 的 参数 说 明 如 下 。 

















arp-miss anti-attack rate-limit 
packet-number [ interval-value ] 

例如 : [HUAWEI] arp-miss anti-attack 
rate-limit 200 20 

或 : [HUAWEI-GigabitEthernet1/0/0] 
arp-miss anti-attack rate-limit 200 20 
block timer 60 

或 : [HUAWEI-Vlanif100] arp-miss 
anti-attack rate-limit 200 20 


(1) packet-number: 指定 ARP Miss 消息 的 限 
速 值 ， 即 限 速 时 间 内 允许 通过 的 ARP Miss 消 
息 的 个 数 ， 取 值 范围 1 一 16 384 的 整数 ， 缺 省 
值 为 100 

(2) interval-value: 可 多 选 参数 ， 指 定 ARP Miss 
消息 的 限 速 时 间 , 取 值 范围 1 一 86 400 的 整数 秒 ， 
缺 省 值 为 1s 

缺 省 情况 下 ， 在 1s 内 最 多 允许 100 个 ARP Miss 
消息 通过 ， 可 用 undo arp-miss anti-attack 
rate-limit 命令 将 全 局 、VLAN 或 接口 下 配置 的 
ARP Miss 消息 的 限 速 值 和 限 速 时 间 恢 复 为 缺 
省 值 





arp-miss anti-attack rate-limit alarm 
enable 

例如 : [HUAWEI] arp-miss anti-attack 
rate-limit alarm enable 

或 : [HUAWEI-GigabitEthernet1/0/0] 
arp-miss anti-attack rate-limit alarm enable 
或 : [HUAWEI-Vlanif100] arp-miss 
anti-attack rate-limit alarm enable 


(可 选 ) 在 全 局 、VLAN 或 接口 下 使 能 ARP Miss 
消息 限 速 丢弃 告警 功能 。 当 丢弃 的 ARP Miss 消 
息 数 超过 告警 阅 值 时 ， 设 备 将 产生 告警 

缺 省 情况 下 ， 没 有 使 能 ARP Miss 消息 限 速 丢弃 
告警 功能 ， 可 用 undo arp-miss anti-attack 
rate-limit alarm enable 命令 去 使 能 ARP Miss 消 


息 限 速 丢弃 告警 功能 





arp-miss anti-attack rate-limit alarm 
threshold threshold 

例如 : [HUAWEI] arp-miss anti-attack 
rate-limit alarm threshold 200 

或 : [HUAWEI-GigabitEthernet1/0/0] 
arp-miss anti-attack rate-limit alarm 
threshold 100 

或 ; [HUAWEI-Vlanifl00]arp-miss 
anti-attack rate-limit alarm threshold 100 





16.2.6 配置 临时 ARP 表 项 的 老化 时 间 








为 了 控制 设备 根据 ARP Miss 消 息 生 成 大 量 临时 的 ARP 表 项 ， 
的 触发 频率 。 这 样 ， 在 送 ARP Misss 消 息 时 ， 在 


空 制 ARP Miss 消 息 上 

















ARP 应 答 报 文 ， 则 中 


L 配 对 应 临时 ARP 表 项 的 卫 报 文 将 被 丢弃 ， 并 有 














备 收 到 对 应 的 ARP 应 答 报 文 后 ， 会 4 














临时 ARP 表 项 ， 
































Miss 消 息 的 触发 频率 ， 从 而 减 小 攻击 对 设备 的 影响 。 


临时 ARP 表 项 


的 临时 ARP 表 项 的 老化 时 间 ， 扩 





= 











说 明 


本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 $2700SI 子 系列 和 除 S2700-52P-EI、 

















的 老化 时 间 是 在 














的 S2700EI 子 系列 不 支持 ， 其 他 系列 均 支 持 。 





表 16-81 





(可 选 ) 在 全 局 、VLAN 或 接口 下 配置 ARP Miss 


消息 限 速 丢弃 告警 阔 值 ， 取 值 范围 为 1 一 16 384 
的 整数 。 通 过 本 命令 可 以 配置 告警 阀 值 ， 当 设备 
超过 ARP Miss 消息 限 速 值 的 ARP Miss 
旧 数 超过 告警 阔 值 时 ， 设 备 将 以 告警 的 方式 通 
知 网 络 管理 员 
缺 省 情况 下 ，ARP Miss 消息 限 速 丢弃 告警 闽 值 
为 100, 可 用 undo arp-miss anti-attack rate-limit 
alarm threshold 命令 恢复 ARP Miss 消息 限 速生 
弃 告 警 阔 值 为 缺 省 值 





可 以 通过 配置 | 
































成 正确 的 ARP 表 项 来 蔡 换 临时 ARP 表 项 。 
但 仅 配置 老化 时 间 还 不 够 ， 因 为 在 对 应 临时 ARP 表 项 的 老化 时 间 超 时 后 ， 设 备 虽 然 
表 项 ， 但 此 时 如 果 设 备 转发 人 P 报 文 有 




















鱼 时 ARP 表 项 的 老化 时 间 的 配置 步 又 








= 


清除 该 临 











( 续 表 ) 


各 时 ARP 表 项 的 老化 时 间 来 
老化 时 间 超 时 前 如 果 设 备 没有 收 到 对 应 的 
\ 会 再 触发 新 的 ARP Miss 消 息 ;而 在 设 





时 ARP 








了 次 匹配 不 到 对 应 的 ARP 表 项 时 ， 则 又 会 重新 触发 ARP Miss 消 息 并 生成 
如 此 循环 重复 。 这 时 可 调 大 对 应 IP 报 文 的 临时 ARP 表 项 的 老化 时 间 ， 以 减 小 设备 的 ARP 





lL 体 的 VLANIF 接口 视图 下 配置 的 ， 以 配置 对 应 VLAN 接 口 所 在 IP 网 段 
具体 配置 步骤 如 表 16-8 所 示 。 


S2700-52P-PWR-EI 以 外 


system-view 


进入 系统 视图 
例如 : <HUAWEI> system-view 进入 系统 视图 





interface vlanif interface-number 键入 要 配置 临时 ARP 表 项 的 老化 时 间 的 VLANIF 接 
例如 : [HUAWEI] interface vlanif 10 | 口 ， 进 入 VLANIF 接口 视图 





配置 临时 ARP 表 项 的 老化 时 间 ， 取 值 范围 为 1 一 
arp-fake expire-time expire-time 36 000 的 整数 秒 

例如 : [HUAWEI-Vlanifl0]arp-fake | 缺 省 情况 下 ， 临 时 ARP 表 项 的 老化 时 间 是 18， 可 用 
expire-time 100 undo arp-fake expire-time 命令 恢复 对 应 VLAN 所 在 
IP 网 段 的 临时 ARP 表 项 的 老化 时 间 为 缺 省 值 











16.2.7 配置 ARP 表 项 严格 学 习 



































如 果 大 量 用 户 在 同一 时 间 段 内 向 设备 发 送 大 量 ARP 报 文 ， 或 者 攻击 者 伪造 正常 用 户 的 ARP 报 文 发 送 给 
设备 ， 则 会 造成 如 下 危害 。 
(1) 设备 因 处 理 大 量 ARP 报 文 而 导致 CPU 负荷 过 重 ， 同 时 设备 学 习 大 量 的 ARP 报 文 可 能 导致 设备 ARP 
表 项 资源 被 无 效 的 ARP 表 项 耗 尽 ， 造 成 合法 用 户 的 ARP 报 文 不 能 继续 生成 ARP 表 项 ， 导 致 用 户 无 法 正常 通 


时 网 


百 。 































































































(2) 伪造 的 ARP 报 文 将 错误 地 更 新 设备 ARP 表 项 ， 导 致 合法 用 户 无 法 正常 通信 。 

为 避免 上 述 和 危害， 可 以 在 网 关 设 备 上 配置 ARP 表 项 严格 学 习 功 能 。 配 置 该 功能 后 ， 只 有 本 设备 主动 发 
送 的 ARP 请 求 报 文 的 应 答 报 文 才能 触发 本 设备 学 习 ARP， 其 他 设备 主动 向 本 设备 发 送 的 ARP 报 文 不 能 触发 
本 设备 学 习 ARP， 这 样 ， 可 以 拒绝 大 部 分 的 ARP 报 文 攻击 。 

ARP 表 项 严格 学 习 功 能 可 在 全 局 和 VLANIF 接口 视图 下 进行 配置 ， 有 具体 如 表 16-9 所 示 。 如 果 全 局 使 能 
该 功能 ， 则 设备 的 所 有 接口 均 进 行 ARP 表 项 严格 学 习 ; 如 果 VLANIF 接 口 下 使 能 该 功能 ， 则 只 有 该 接口 进行 
ARP 表 项 严格 学 习 。 当 同时 在 全 局 和 VLANIF 接 口 视图 下 进行 配置 时 ，VLANIF 接 口 下 配置 的 优先 级 高 于 全 
局 配置 的 优先 级 。 

说 明 

本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、 S2700-52P-PWR-EI 以 外 
的 S2700EI 子 系列 不 文 持 ; 其 他 系列 均 支 持 。 
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表 16-9 ARP 表 项 严格 学 习 的 配置 步 又 




















system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





配置 全 局 ARP 表 项 严格 学 习 功能 , 使 设备 只 学 习 自 己 发 送 


arp learning strict 的 ARP 请 求 报 文 的 应 答 报 文 
例如 : [HUAWEI] arp learning | 缺 省 情况 下 ，S2700/3700/S5700SI 和 S5700EI 已 使 能 ， 其 
strict 他 系列 均 没 有 使 能 ， 可 用 undo arp learning strict 命令 将 





ARP 表 项 严格 学 习 功能 恢复 为 缺 省 值 





( 续 表 ) 


命令 说 明 
interface vlanif interface-number 
例如 : [HUAWEI] interface 
vlanif 10 





(可 选 ) 键入 要 配置 ARP 表 项 严格 学 习 功 能 的 VLANIF 接 
口 ， 进 入 VLANIF 接口 视图 





(可 选 ) 配置 VLANIF 接口 的 ARP 表 项 严格 学 习 功 能 。 命 
令 中 的 选项 说 明 如 下 。 

e force-enable: 多 选 一 选项 ， 使 能 ARP 严格 学 习 功 能 

。 force-disable: 多 选 一 选项 ， 去 使 能 ARP 严格 学 习 功 能 
etrust: 多 选 一 选项 ，ARP 严格 学 习 功 能 与 全 局 配置 保持 

- 致 

缺 省 情况 下 ，S2700/3700/S5700SI 和 S5700EI 已 使 能 ， 其 他 
系列 均 没 有 使 能 ， 可 用 undo arp learning strict 命令 将 对 应 
VLANIF 接口 的 ARP 严格 学 习 功 能 配置 与 全 局 配置 保持 一 致 


arp learning strict { force- 
enable | force-disable | trust } 
例如 : [HUAWEI-Vlanif10] arp 
learning strict trust 














说 明 

由 于 有 些 用 户主 机 上 安装 的 防火 墙 会 阻止 其 收 到 ARP 请 求 时 发 送 ARP 应 答 ， 所 以 使 能 ARP 表 项 严格 学 
习 功 能 后 ， 如 果 设 备 上 触发 了 ARP Miss 消 息 ， 则 设备 主动 发 出 的 ARP 请 求 将 无 法 得 到 该 用 户 的 ARP 应 答 ， 
从 而 使 设备 无 法 学 习 到 该 用 户 的 ARP。 在 这 种 场景 下 ， 如 果 仅 是 个 别 用 户 出 现 该 问题 ， 则 可 以 为 其 配置 静 
态 ARP;， 如 果 该 问题 在 用 户 中 非常 普遍 ， 则 建议 去 使 能 ARP 表 项 严格 学 习 功能 。 








































































































16.2.8 配置 基于 接口 的 ARP 表 项 限制 























为 了 防止 当 一 个 接口 〈 可 以 是 二 层 物理 接口 、Eth-Trunk 接 口 、VLANIE 接 口 、 三 层 物理 子 接口 和 端口 
组 ) 所 接 入 的 某 一 用 户主 机 发 起 ARP 攻 击 时 导致 整个 设备 的 ARP 表 资源 被 耗 尽 ， 可 以 在 指定 接口 下 配置 接 
口 能 够 学 习 到 的 最 大 动态 ARP 表 项 数目 。 当 指定 接口 下 的 动态 ARP 表 项 达到 允许 学 习 的 最 大 数目 后 ， 将 不 
允许 新 增 动 态 ARP 表 项 。 具 体 的 配置 步 又 如 表 16-10 所 示 。 

说 明 

本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、S2700-52P-PWR-EI 系 列 以 
外 的 S2700EI 子 系列 产品 不 支持 ，S2710SI、S2700-52P-EI 和 S2700-52P-PWR-EI 子 系列 仅 支 持 本 项 特性 (但 
不 支持 在 物理 子 接口 下 配置 ) ;其 他 S 系 列 均 支 持 本 项 特性 〈 但 在 $5700 系 列 中 仅 S5710EI 和 S5700HI 子 系列 
支持 在 子 接口 下 配置 ，S9300/9300E 系 列 不 支持 在 子 接口 下 配置 ) 。 























































































































表 16-10 基于 接口 的 ARP 表 项 限制 的 配置 步骤 




















System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





在 物理 接口 interface interface-type interface- 

或 Eth-Trunk number 

接口 视图 下 ” | 例如 : [HUAWEI] interface 
配置 gigabitethernet 1/0/0 


(可 选 ) 键入 要 配置 ARP 表 项 限制 功能 的 物 
理 接口 或 Eth-Trunk 接口 或 端口 组 , 进入 接口 
或 者 端口 组 视图 











( 续 表 ) 


在 物理 接口 

或 Eth-Trunk 

接口 视图 下 
配置 


在 VLNIF 
接口 视图 
下 配置 


在 物理 子 
接口 视图 
下 配置 


arp-limit vian vlan-id! [ to v/an- 
id2 ] maximum maximum 
例如 : [HUAWEI- 
GigabitEthemet1/0/0] arp-limit 
vlan 10 maximum 20 


quit 
例如 : [HUAWEIL- 
GigabitEthernet1/0/0] quit 


(可 选 ) 配置 基于 物理 主 接口 、Eth-Trunk 接 
口 或 端口 组 的 ARP 表 项 限制 。 命 令 中 的 参数 
说 明 如 下 。 
(1) wlan-id1 [to vlan-id2 ]: 指定 限制 ARP 学 
习 的 VLAN,， 限制 接口 从 该 VLAN 内 能 够 学 习 
到 的 最 大 动态 ARP 表 项 数 日 ， 取 值 范围 均 为 
1 一 4 094, 但 wan-id2 必须 大 于 或 等 于 vlan-id1l，。 
该 参数 必须 且 只 能 在 二 层 接口 下 使 用 

(2 )maximum: 接口 能 够 学 习 到 的 最 大 动态 ARP 
表 项 数目 ，S2700/3700 系列 的 取 值 范围 是 1 一 
1 024 的 整数 ，S5700SI 系列 的 取 值 范围 为 1 一 
2048 的 整数 ，S5700EI 系列 取 值 范围 为 1 一 
8 192 的 整数 ，S5700HI7700/9300/9300E/9600 
系列 的 取 值 范围 为 1 一 16 384 的 整数 ，S5710EI 
系列 的 取 值 范围 为 1 一 16384 的 整数 ， 
S5700LIS700S-LI 系列 的 取 值 范围 为 1 一 256 的 
整数 , S6700 系列 的 到 值 范围 为 1 一 8 192 的 整数 
缺 省 情况 下 ， 在 规格 范围 内 ， 设 备 对 接口 能 够 
学 习 到 的 最 大 动态 ARP 表 项 数目 没有 限制 , 可 
用 undo arp-limit vlan wlan-id/ [to wlan-id2] 命 
令 删 除 对 应 接口 下 指定 ARP 表 项 限制 配置 


(可 选 ) 退出 物理 或 者 Eth-Trunk 接口 视图 ， 
返回 系统 视图 








interface vlanif inrerface- 
number 

例如 : [HUAWEI]interface 
vlanif 10 


(可 选 ) 键入 要 配置 ARP 表 项 限制 功能 的 
VLAN 接口 ， 进 入 VLANIF 接口 视图 








arp-limit maximum maximum 
例如 : [HUAWEI-Vlanif10] 
rp-limit maximum 20 


quit 

例如 : [HUAWEI-Vianif10] 
quit 

interface interface-type 
interface-number 
[subnumber ] 

例如 : [HUAWEI] interface 
gigabitethernet 1/0/1.1 


arp-limit vlan Wem-idy [to 
Wan-id? ] maximum maximum 
例如 : [HUAWEI- 
GigabitEthernet1/0/1.1] 
arp-limit vlan 10 maximum 20 





(可 选 ) 配置 基于 VLANIF 接口 的 ARP 表 项 
有 限制。 参数 maxrimum 的 取 值 范围 参见 前 而 第 
3 步 中 该 参数 说 明 

缺 省 情况 下 , 在 规格 范围 内 , 设备 对 VLANIF 
接口 能 够 学 习 到 的 最 大 动态 ARP 表 项 数目 没 
有 限制 ， 可 用 undo arp-limit 命令 删除 对 应 
VLANIF 接口 下 的 指定 ARP 表 项 眼 制 配 置 


(可 选 ) 退出 VLANIF 接口 视图 , 返回 系统 视图 


(可 选 ) 键入 要 配置 ARP 表 项 限制 功能 的 物 
理子 接口 ， 进 入 子 接口 视图 


(可 选 ) 配 置 基于 物理 子 接口 的 ARP 必 项 限制 。 
命令 中 的 参数 参见 前 面 第 3 中 对 应 参数 说 明 
缺 省 情况 下 ， 在 规格 范围 内 ， 设 备 对 子 接口 
能 够 学 习 到 的 最 大 动态 ARP 表 项 数目 没有 限 
制 ， 可 用 undo arp-limit 命令 删除 对 应 
VLANIF 接口 下 的 指定 ARP 表 项 限制 配置 





16.2.9 配置 免费 ARP 报 文 主动 丢弃 








由 于 发 送 免 费 ARP 报 文 的 用 户主 机 并 不 需要 经 过 身份 验证 ， 任 何 一 个 用 户主 机 都 可 以 发 送 免 费 ARP 报 
文 ， 这 样 就 引入 了 两 个 问题 。 

(1) 如 果 网 络 中 出 现 大 量 的 免费 ARP 报 文 ， 设 备 会 因为 处 理 这 些 报 文 而 导致 CPU 负 蓓 过 重 ， 从 而 不 
能 正常 处 理 合法 的 ARP 报 文 。 

(2) 如 果 设 备 处 理 的 免费 ARP 报 文 是 攻击 者 伪造 的 ， 会 造成 设备 错误 地 更 新 ARP 表 项 ， 导 致 合法 用 
户 的 通信 流量 发 生 中 断 。 

为 了 解决 以 上 问题 ， 在 确认 攻击 来 自 免 费 ARP 报 文 之 后 ， 可 以 在 网 关 设 备 上 使 能 免费 ARP 报 文 主动 丢 
弃 功能 ， 使 网 关 设 备 直 接 丢 弃 所 收 到 的 免费 ARP 报 文 。 

丢弃 免费 ARP 报 文 功能 可 以 在 全 局 和 VLANIF 接口 下 使 能 ， 有 具体 配置 步骤 如 表 16-11 所 示 。 全 局 使 能 
该 功能 ， 则 设备 的 所 有 接口 都 丢弃 收 到 的 免费 ARP 报 文 。VLANIF 接 口 下 使 能 该 功能 ， 则 只 有 该 接口 丢弃 收 












































到 的 免费 ARP 报 文 。 一 般 在 用 户 侧 的 VLANIF 接 口 下 配置 免费 ARP 报 文 主动 于 弃 功 能 。 
说 明 
本 项 ARP 安 全 特性 仅 S7700/9300/9300E/9700 系 列 支 持 。 














表 16-11 免费 ARP 报 文 主动 丢弃 的 配置 步骤 














命令 





System-view 


进入 系统 视图 
例如 ， <HUAWEI> system-view 进入 系统 视图 





键入 要 配置 临时 ARP 表 项 的 老化 时 间 的 
interface vlanif interface-number VLANIF 接口 ， 进入 VLANIF 接口 视图 。 在 系统 
例如 : [HUAWEI] interface vlanif 10 | 视图 下 使 能 免费 ARP 报 文 主动 丢弃 功能 无 需 执 


行 此 步骤 
arp anti-attack gratuitous-arp drop 
例如 : [HUAWEI]arp anti-attack 
gratuitous-arp drop 

或 : [HUAWEI-Vlanifl0] arp anti-attack 
gratuitous-arp drop 


使 能 免费 ARP 报 文 主动 丢弃 功能 

缺 省 情况 下 ,没有 使 能 免费 ARP 报 文 主动 丢弃 功能 ， 
可 用 undo arp anti-attack gratuitous-arp drop 命令 
去 使 能 丢弃 免费 ARP 报 文 功能 














16.3 配置 防 ARP 欺 骗 攻 吉 


























ARP 表 项 攻击 、 网 关 攻 击 、 中 间 人 攻击 是 ARP 欺 骗 攻 击 的 主要 应 用 场景 。 表 16-12 列 出 了 针对 不 同 ARP 
欺骗 攻击 类 型 所 提供 的 不 同 解 决 方案 ， 以 增强 网 络 抗击 ARP 欺 骗 攻击 的 能 力 。 在 这 些 配置 防 ARP 欺 骗 攻 击 
安全 特性 中 ， 各 项 配置 均 是 并 列 关 系 ， 无 严格 配置 顺序 ， 也 并 不 是 要 求 配置 所 有 的 ARP 安 全 特性 方案 ， 用 
户 可 根据 需要 选择 配置 一 种 或 者 多 种 方案 。 































































































表 16-12 防 ARP 坎 骗 攻击 的 类 型 及 解决 方案 


ARP 
表 项 攻击 


网 关 攻 击 


ARP 其 矣 攻击 一 般 都 是 通过 
修改 ARP 表 项 来 完成 的 。 


攻击 者 仿冒 网 关 地 址 ， 发 送 
ARP 报 文 头 的 源 趾 地 址 是 网 
关 地 址 的 ARP 报 文 ， 从 而 使 
主机 修改 网 关 的 MAC 地 址 
为 攻击 者 的 MAC 地 址 , 需要 
发 送 给 原来 网 关 的 报 文 就 发 
送 给 攻击 者 了 


增强 ARP 表 项 的 自我 保护 功能 ， 可 采用 以 下 具体 的 解 
决 方案 。 

(1) ARP 表 项 固化 : 使 设备 在 第 一 次 学 习 到 ARP 之 后 ， 
不 再 允许 用 户 更 新 此 ARP 表 项 或 只 能 更 新 此 ARP 表 项 
的 部 分 信息 ， 或 者 通过 发 送 ARP 请 求 报 文 的 方式 进行 
确认 , 以 防止 攻击 者 伪造 ARP 报 文 修改 正常 用 户 的 ARP 
表 项 内 容 。 具 体 见 16.3.1 节 

(2) ARP 报 文 合 法 性 检查 :; 使 设备 对 收 到 的 ARP 报 文 
进行 以 太 网 数据 帧 首部 中 的 源 MAC 地 址 和 ARP 报 文 数 
据 区 中 的 源 MAC 地 址 的 一 致 性 检查 , 如 果 再 者 不 一 致 ， 
则 直接 丢弃 该 ARP 报 文 ， 以 免 非 法 修改 或 创建 ARP 表 
项 ， 否 则 允许 该 ARP 报 文通 过 。 具 体 见 16.3.6 节 

(3) ARP 表 项 严格 学 习 : 只 学 习 自 己 发 送 的 ARP 请 求 
报 文 的 应 答 报 文 . 具体 参见 16.2.7 节 

(4) ARP 报 文 内 MAC 地 址 一 致 性 检查 :使 网 关 设 备 在 
进行 ARP 学 习 前 对 ARP 报 文 进行 检查 。 如 果 以 太 网 数 
据 帧 首部 : P 的 源 /目的 MAC 地 址 和 ARP 报 文 数据 区 中 
的 源 / 目 的 MAC 地 址 不 同 ， 则 认为 和 是 攻击 报 文 ， 将 其 丢 
弃 ; 奉 则 ， 继 续 进 行 ARP 学 习 ， 具 体 见 16.3.5 节 

(5) DHCP 航 发 ARP 学 习 : 当 DHCP 服务 器 给 用 户 分 配 


IP 地 址 时 ， 使 设备 回应 用 户 DHCP ACK 报 文成 功 后 , 会 


取 用 户 的 MAC 地址， 生成 该 IP 地 址 对 应 的 ARP 表 项 。 
这 样 可 以 省 掉 设备 学 习 用 户主 机 ARP 的 过 程 ， 避 免 攻击 
者 通过 ARP 报 文 对 ARP 表 项 的 攻击 . 具体 见 16.3.7 节 
可 采用 以 下 具体 的 解决 方案 : 

(1) ARP 防 网 关 冲 突 : 使 配置 作为 网 关 的 设备 丢弃 ARP 
报 文 头 的 源 IP 地 址 是 自己 IP 地 址 的 ARP 报 文 。 但 是 这 
种 防 攻击 策略 只 适用 于 所 有 主机 的 ARP 报 文 必须 通过 
网 关 转 发 的 场景 。 具体 见 16.3.3 节 

(2) 发 送 免 费 ARP 报 文 :用 来 定期 更 新 合法 用 户 的 ARP 
表 项 ， 使 得 合法 用 户 ARP 表 项 中 记录 的 是 正确 的 网 关 
地 址 映射 关系 。 具 体 见 16.3.4 节 





中 间 人 
攻击 


16.3.1 配置 ARP 表 项 固化 





为 了 防止 ARP 地 址 欺骗 攻 
以 下 3 种 ARP 表 项 固化 模式 适用 于 不 同 的 应 用 场景 ， 


中 间 人 攻击 会 
和 网 关 的 信息 。 
(1) 修改 主机 上 的 网 关 信 息 : 
攻击 者 仿冒 网 关 地 址 ， 发 送 
ARP 报 文 头 的 源 吓 地 址 是 网 
关 地 址 的 ARP 报 文 ， 使 主机 
修改 网 关 的 MAC 地 址 为 攻 
击 者 的 MAC 地 址 

(2) 修改 网 关上 的 主机 信息 : 
攻击 者 仿冒 主机 地 址 ， 发 送 
ARP 报 文 头 的 源 钙 地 址 是 主 
机 地 址 的 ARP 报 文 ， 使 网 关 
修改 主机 的 MAC 地 址 为 玫 
击 者 的 MAC 地址 


司 时 修改 主机 





FF， 可 以 配置 ARP 表 项 


可 采用 “动态 ARP 检测 ”解决 方案 : 当 设 备 收 到 ARP 
报 文 时 ， 将 此 ARP 报 文 的 源 P、 源 MAC、 收 到 ARP 
报 文 的 接口 及 VLAN 信息 和 DHCP Snooping 绑 定 表 的 
信息 进行 比较 ， 如 果 信 息 匹 配 ， 则 认为 是 合法 用 户 ， 允 
许 此 用 户 的 ARP 报 文通 过 ， 否 则 认为 是 攻击 ， 丢 弃 该 
ARP 报 文 。 本 功能 仅 适 用 于 DHCP Snooping 场景 ， 适 
用 于 所 有 主机 的 ARP 报 文 必须 通过 网 关 转 发 的 场景， 
具体 见 16.3.2 节 








且 是 互 斥 关系 。 


固化 功能 ， 使 欺骗 类 ARP 报 文 不 能 修改 原来 ARP 表 项 。 


(1) fixed-mac 方式 : 这 种 固化 模式 是 以 报 文中 源 MAC 地 址 与 ARP 表 中 现 有 对 应 IP 地 址 的 表 项 中 的 


MAC 地 址 是 否 匹 配 为 审查 的 关键 依据 。 











当 这 两 个 MAC 地 址 不 匹配 时 ， 则 直接 丢弃 该 ARP 报 文 ， 如 果 这 两 





个 MAC 地 址 是 匹配 的 ， Se 则 可 以 更 新 对 应 


ARP 表 项 中 的 接口 和 VLAN 信 息 。 


接口 和 VLAN ) 的 情况 。 














' 模 式 适 用 于 静态 配置 IP 地 址 ， 但 网 络 存在 见 余 链 路 (这 样 可 以 改变 出 
pm ARP 表 项 中 的 接口 信息 可 以 快速 改变 。 


(2) fixed-al 方式 : 这 种 固化 模式 是 仅 当 ARP 报 文 对 应 的 MAC 地 址 、 接 口 、VLAN 信 息 和 ARP 表 中 对 
应 表 项 的 信息 完全 匹配 时 ， 设 备 才 可 以 更 新 ARP 表 项 的 其 他 内 容 。 这 种 模式 匹配 最 严格 ， 适 用 于 静态 配置 
JP 地 址 ， 网 络 没 有 宛 余 链 路 (这 样 不 可 以 改变 出 接口 和 VLAN ) ， 且 同一 下地 址 用 户 不 会 从 不 同 接口 接 入 











的 情况 。 


(3) send-ack 方式 : 这 种 模式 是 当 设备 收 到 一 个 涉及 MAC 地址 、VLAN、 接 口 修改 的 ARP# 
而 是 先 向 待 更 新 的 ARP 表 项 现 有 MAC 地 址 对 应 的 月 


` 会 立即 更 新 ARP 表 项 ， 
文 ， 再 根据 用 户 的 确认 结果 决定 是 否 更 新 ARP 表 项 中 的 MAC 地 址 、VLAN 和 接口 信息 。 此 方式 适用 于 
分 配 卫 地 址 ， 有 元 余 链 路 的 网 络 。 


























可 在 全 局 和 VLANIE 接 口 下 配置 ARP 表 项 固 
后 ， 缺 省 设备 上 所 有 接口 的 ARP 表 项 固 















































化 功能 ， 














民 文 时 ， 
有 户 发 送 一 个 单 播 的 ARP 请 求 报 














体 配 置 步骤 如 表 16-13 所 示 。 全 


动态 


局 配置 该 功能 





























VLANIF 接 口 下 的 配置 优先 生效 。 





说 明 


本 项 ARP 安全 特性 ， 在 S2700 系列 中 的 S2700SI 子 系列 和 除 S2700-52P-EI、 





的 S2700EI 子 系列 不 支持 ; 


16.3.2 配置 动态 ARP 检 测 





其 他 系列 均 支 持 。 


化 功能 均 已 使 能 。 当 全 局 和 VLANIF 接 口 








表 16-13 ARP 表 项 固化 的 配置 步 又 








system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





interface vlanif interface-number 
例如 : [HUAWEI] interface vlanif 
10 

arp anti-attack entry-check 

{ fixed-mac | fixed-all | send-ack } 
enable 

例如 : [HUAWEI]arp anti-attack 
entry-check fixed-mac 

或 [HUAWEI-Vlanifl0]arp 
anti-attack entry-check send-ack 





(可 选 ) 键入 要 配置 ARP 表 项 严格 学 习 功 能 的 VLANIF 接 
口 ， 进 入 VLANIF 接口 视图 。 在 系统 视图 下 配置 ARP 表 
项 固化 功能 无 需 执行 此 步骤 





在 全 局 或 VLANIF 接口 下 配置 ARP 表 项 固化 功能 。 命 令 
中 的 选项 说 明 如 下 。 

(1) fixed-mac: 多 选 一 选项 ， 指 定 按 固定 MAC 模式 运行 
ARP 防 欺 骗 功能 .固定 MAC 指 的 是 不 允许 通过 ARP 学 习 
对 MAC 地 址 进行 修改 , 但 允许 对 VLAN 和 接口 信息 进行 
修改 








步 又 





说 明 





arp anti-attack entry-check 

{ fixed-mac | fixed-all | send-ack } 
enable 

例如 : [HUAWEHarp anti-attack 
entry-check fixed-mac 

或 [HUAWEI-Vlanifl0]arp 
anti-attack entry-check send-ack 





(2) fixed-all: 多 选 一 选项 ， 指 定 按 国定 所 有 参数 的 模式 
运行 ARP 防 欺骗 功能 。 固 定 所 有 参数 指 的 是 对 动态 ARP 
和 已 解析 的 静态 ARP，MAC、VLAN 和 接口 信息 均 不 允 
许 修 改 

(3)send-ack: 多 选 一 选项 , 指定 按 查询 确认 模式 运行 ARP 
防 欺骗 功能 。 查 询 确认 指 的 是 设备 收 到 一 个 涉及 MAC 地 
址 、VLAN. 接口 修改 的 ARP 报 文 时 , 不 会 立即 进行 修改 ， 
而 是 先 记录 发 送 请 求 的 表 项 信息 ,对 原 ARP 表 中 与 此 ARP 
报 文 中 的 MAC 地 址 对 应 的 用 户 发 一 个 单 播 确认 ， 在 收 到 
ACEK 后 删除 该 表 项 

缺 省 情况 下 ， 没 有 使 能 ARP 防 地 址 欺骗 功能 ， 可 用 undo 
arp anti-attack entry-check [ fixed-mac | fixed-all | 
send-ack ] enable 命令 去 使 能 对 应 的 ARP 防 地 址 欺骗 功能 











为 了 防御 中 间 人 攻击 ， 避 免 合法 用 户 的 数据 被 中 间 人 窃取 ， 可 以 使 能 动态 ARP 检 测 功能 ， 仅 适用 
用 了 DHCP Snooping 的 场景 。 这 样 ， 设 备 会 将 ARP 报 文 





















































下 同时 配置 了 该 功能 时 ， 


S2700-52P-PWR-EI 以 外 


( 续 表 ) 

















于 局 








的 源 IP、 源 MAC、 接 口 、VLAN 信 息 和 DHCP 











Snooping 中 的 绑 定 表 《或 者 手动 添加 静态 绑 定 表 ) 信息 进行 比较 ， 如 果 匹 配 ， 说 明 发 送 该 ARP 报 文 的 用 户 是 


合法 用 户 ， 允 许 此 用 户 的 ARP 报 文通 过 ， 


说 明 





否则 就 认为 是 攻击 ， 技 弃 该 ARP 报 文 。 





ARP 报 文 数 超过 告 
可 在 接口 〈 包 括 物理 


设备 使 能 DHCP Snooping 功 能 后 ， 当 DHCP 用 户 上 线 时 设备 会 自动 生成 DHCP Snooping 绑 定 表 ; 对 于 静 




















如 果 和 希望 仅 匹 配 细 


行 绑 定 表 匹 配 检查 时 只 











多 时 能 够 以 告警 的 方式 提 




















态 配置 IP 地 址 的 用 户 ， 设 备 不 会 生成 DHCP Snooping 绑 定 表 ， 所 以 需要 手动 添加 静态 绑 定 表 。 可 用 user- 
bind static{ ip-address start-ip [ to end-ip ] &<1-10> |mac-addressmac-address } * [interface interface-type 
interface-number ] [vlanvlan-id [ ce-vlan ce-vlan-id ] ] 命令 配置 IP 地 址 、MAC 地 址 、 接 口 和 内 /外 层 VLAN 的 静 
态 用 户 绑 定 表 项 。 





























定 表 中 某 一 项 或 某 两 项 内 容 的 特殊 ARP 报 文 也 能 够 通过 ， 则 可 以 配置 对 ARP 报 文 进 
令 查 某 一 项 或 某 两 项 内 容 。 如 果 和 希望 设备 在 丢弃 的 不 匹配 绑 定 表 的 ARP 报 文 数量 较 

































































醒 网 络 管理 员 ， 则 还 可 以 使 能 动态 ARP 检 测 丢弃 报 文告 警 功能 。 这 样 ， 当 丢弃 的 
5 和 警 阐 值 让 








设备 将 产生 告警 。 




































































说 明 





















































接口 、Eth-Trunk 接 口 、VLANIEF 接 口 和 端口 组 ) 视图 或 VLAN 视 图 下 配置 动态 
ARP 检 测 功能 ， 有 具体 配置 步骤 如 表 16-14 所 示 。 在 接口 视图 下 使 能 时 ， 则 对 该 接口 收 到 的 所 有 ARP 报 文 进行 
绑 定 表 匹 配 检查 ; 在 VLAN 视 图 下 使 能 时 ， 则 对 加 入 该 VLAN 的 接口 收 到 的 属于 该 VLAN 的 ARP 报 文 进行 绑 
定 表 [匹配 检查 。 


















































本 项 ARP 安 全 特性 ，S2700SI 和 S5700SI 子 系列 交换 机 不 支持 ， 其 他 S 系 列 均 支 持 。 除 S2700-52P-ET、 








S2700-52P-PWR-EI 以 外 的 S2700EI 子 系列 产品 仅 支 持 本 项 特性 。 


男 外 ， 当 同时 在 YLAN 和 加 入 该 VLAN 的 接口 下 配置 了 动态 ARP 检 测 功 能 时 ， 设 备 会 先 按照 接口 下 配置 


的 检查 选项 对 ARP 报 文 进行 绑 定 表 匹 配 检 查 ， 如 果 ARP 报 文 检 查 通过 ， 设 备 再 根据 VLAN 下 配置 的 检查 选项 










































































1 于 动态 ARP 检 测 丢 弃 报 文告 警 功能 针对 的 是 接口 DAI 功 能 丢弃 的 ARP 报 文 数 告警 统计 ， 因 此 建议 不 
















































































时 在 VLAN 视 图 下 配置 命令 arp anti-attack check user-bind enable 以 及 在 加 入 该 VLAN 的 接口 视图 下 配置 
命令 arp anti-attack check user-bind alarm enable， 和 避免 VLAN 下 的 DAI 功 能 可 能 造成 实际 丢 包 数目 和 接口 DAI 
告警 统计 值 之 间 的 偏差 。 






































表 16-14 动态 ARP 检 测 的 配置 步 又 


System-VieW 

例如 : =HUAWEL- system-view 
interface interface-fype interface- 
manber 

例如 : [HUAWEI interface 
gigabitethernet 1/0/0 

或 vlan vian-id 

例如 [HUAWEI] vlan 10 


进入 系统 视图 


键入 要 配置 动态 ARP 检测 功能 的 物理 接口 、Eth-Trunk 
接口 、VLNIF 接口 或 端口 组 , 进入 接口 或 者 端口 组 视图 ， 
或 键入 要 配置 动态 ARP 检测 功能 的 VLAN, 进入 VLAN 
视图 





ap antiattack check user-bind 
enable 

例如 : [HUAWEI- 
GigabitEthernet1/0/0] arp anti- 
attack check user-bind enable 
或 [HUAWEI-Vlan10]arp anti- 
attack check user-bind enable 


ap antiattack check user-bind 


check-item { ip-address | mac-a 
ddress | vlan } 

例如 : [HUAWEI- 
GigabitEthernet1/0/0] arp anti- 
attack check user-bind check- 
item ip-address 


在 以 上 接口 或 者 VLAN 下 使 能 动态 ARP 检测 功能 〈 即 对 
ARP 报 文 进行 绑 定 表 匹 配 检查 功能 )。 缺 省 情况 下 ， 没 有 
使 能 动态 ARP 检测 功能 。 


《可 选 ) 在 以 上 接口 下 配置 对 ARP 报 文 进行 绑 定 表 匹 配 检 
查 的 检查 项 。 命 令 中 的 选项 说 明 如 下 。 

(1) ip-address: 可 多 选项 ， 指 定 ARP 报 文 绑 定 表 匹配 检 
查 时 检查 四 地 址 

(2) mac-address: 可 多 选项 ， 指 定 ARP 报 文 绑 定 表 匹 配 
检查 时 检查 MAC 地 址 

(3) vlan: 可 多 选项 ,指定 ARP 报 文 绑 定 表 匹 配 检查 时 检 
查 VLAN 信息 

缺 省 情况 下 , 对 ARP 报 文 的 四 地 址 、MAC 地 址 和 VLAN 
信息 都 进行 检查 ， 可 用 undo arp anti-attack check 
user-bind check-item 命令 恢复 ARP 报 文 绑 定 表 匹 配 检查 
项 为 缺 省 值 





mp anti-attack check user-bind 
check-item { ip-address | mac-a 
ddress | interface } 

例如 : [HUAWEI-vlan10] arp 
anti-attack check user-bind 
check-item ip-address 


arp anti-attack check user-bind 
alarm enable 

例如 :; [HUAWEI- 
GigabitEthernet1/0/0] arp anti- 
attack check user-bind alarm 
enable 


(可 选 ) 在 以 上 VLAN 下 配置 对 ARP 报 文 进行 绑 定 表 匹 配 
检查 的 检查 项 。 命 令 中 的 选项 说 明 如 下 。 

(1) ip-address: 可 多 选项 ， 指 定 ARP 报 文 绑 定 表 匹 配 检 
查 时 检查 卫 地 址 

(2) mac-address: 可 多 选项 ， 指 定 ARP 报 文 绑 定 表 匹 配 
检查 时 检查 MAC 地 址 

(3) interface: 可 多 选项 ， 指 定 ARP 报 文 绑 定 表 匹配 检查 
时 检查 接口 信息 

缺 省 情况 下 ， 对 ARP 报 文 的 他 地址 、MAC 地 址 和 接口 信 
息 部 进行 检查 ， 可 用 undo arp anti-attack check user-bind 
check-item 命令 恢复 ARP 报 文 绑 定 表 匹 配 检查 项 为 缺 省 值 





(可 选 ) 在 以 上 接口 上 使 能 动态 
ARP 检测 丢弃 报 文告 警 功能 

缺 省 情况 下 ， 没 有 使 能 动态 ARP 
检测 丢弃 报 文告 警 功能 , 可 用 undo 


arp anti-attack check user-bind 
alarm enable 命令 去 使 能 动态 ARP 


| 检测 丢弃 报 文 告警 功能 





arp anti-attack check user-bind 
alarm threshold threshold 
例如 : [HUAWEI- 
GigabitEthernet1/0/0] arp anti- 
attack check user-bind alarm 
threshold 200 





16.3.3 配置 ARP 防 网 关 冲 突 








如 果 攻 击 者 仿冒 网 关 ， 在 局 域 网 内 部 发 送 源 IPH 


户主 机 的 ARP 表 记录 错误 的 网 关 地 址 映射 关系 。 
者 ， 攻 击 者 可 轻易 卿 听 到 他 们 发 送 的 数据 内 容 ， 
最 常见 的 一 种 ARP 攻 击 类 型 


























(可 选 ) 在 以 上 接口 上 配置 动态 
ARP 检测 丢弃 报 文告 警 阔 值 ， 取 值 
范围 为 1 一 1 000 

缺 省 情况 下 , 动态 ARP 检测 丢弃 报 
文告 警 闽 值 为 系统 视图 下 arp 
anti-attack check user-bind alarm 
threshold threshold 命令 配置 的 值 。 
如 果 系 统 视图 下 没有 配置 该 值 ， 则 
接口 下 缺 省 的 告警 阀 值 为 100 














除 S2700-52P-EI 和 
S2700-52P-PWR-EI 
以 外 的 S2700EI 系 
列 , 以 及 S5700LI 和 
S5700S-LI 系列 均 不 
支持 这 两 项 配置 , 其 
他 S 系列 支持 这 两 
项 配置 


( 续 表 ) 


也 址 是 网 关 耳 地址 的 ARP 报 文 ， 就 会 导致 局 域 网 内 其 他 月 


LU 





这 样 其 他 用 户主 机 就 会 把 发 往 网 关 的 流量 均 发 送 给 了 攻击 

















并 且 最 终 会 造成 这 些 用 户主 机 无 法 访问 网 络 。i 














网 关 欺 骗 ARP 攻 击 。 
为 了 防范 攻击 者 仿冒 网 关 ， 当 用 户主 机 直接 接 入 网 关 时 (这 是 先决 条 件 ， 其 他 情形 不 适 | 





文 就 是 我 们 




















j) ， 可 在 网 


关 设 备 上 使 能 ARP 防 网 关 冲 突 攻 击 功 能 。 





这 样 ， 当 网 关 设 备 收 到 的 ARP 报 文 存在 下 列 情况 之 
会 认为 该 ARP 报 文 是 与 网 关 地 址 冲突 的 ARP 报 文 ， 生 成 ARP 防 攻击 表 项 ， 并 在 后 续 一 段 时 间 内 丢弃 该 接 











时 ， 设 备 就 
































收 到 的 相同 VLAN 和 相同 源 MAC 地 址 的 ARP 报 文 ， 以 防止 与 网 关 地 址 冲突 的 ARP 报 文 在 VLAN 内 广播 。 


(1) ARP 报 文 的 源 IPj 
(2) ARP 报 文 的 源 IPj 

地 址 。 
本 项 ARP 安 全 








也 址 与 报 文 入 接 








口 对 应 的 VLANIF 接 








列 ， 以 及 S5700LI 和 S5700S-LI 系 列 不 支持 ;其 他 S 系 列 均 支 持 。 


说 明 














的 IP 地 址 (就 是 网 关 IP 地 址 ) 相同 。 





也 址 是 入 接口 的 VRRP 虚 拟 IP 地 址 ， 但 ARP 报 文 源 MAC 地 址 不 是 VRRP 虚 拟 MAC 


寺 性 ， 在 S2700 系 列 中 ，S2700SI 和 除 S2700-52P-EI、S2700- 52P-PWR-EI 以 外 的 S2700EI 系 


配置 ARP 防 网 关 冲 突 的 方法 很 简单 ， 仅 需 在 系统 视图 下 执行 arp anti-attack gateway-duplicate enable 命 














令 即 可 。 缺 省 情况 下 ， 没 有 使 能 ARP 防 网 关 神 突 攻 避 
命 


令 去 使 能 ARP 防 网 关 冲 突 攻击 功能 。 


【经 验 之 谈 】 这 种 方法 不 是 很 适用 ， 因 为 它 只 适 月 
行 了 ARP 报 文 检查 。 在 其 他 情 



































绍 的 在 网 关上 定期 发 送 ARP 和 免费 报 文 的 方法 。 





16.3.4 配置 发 送 ARP 人 免费 报 文 























如 果 有 攻击 者 向 其 他 用 户 发 送 仿冒 网 关 的 ARP 报 文 ， 














人 已 
Zs 





映射 关系 ， 从 而 造成 其 他 用 户 的 正常 数 拉 














的 功能 ， 用 来 定期 更 新 合法 月 


系 。 
可 在 网 关 设 备 上 全 


局 配置 该 功能 后 ， 则 缺 省 设备 上 所 有 接口 的 发 送 ARP 免 费 报 文 功能 


























上 f 功 能 ， 可 用 undo arp anti-attack gateway-duplicate enable 


有 于 用 户主 机 直接 与 网 关连 接 的 情形 ， 仅 在 网 关上 进 
乡下 ， 其 他 非 网 关 设 备 照样 不 会 对 这 类 报 文 进行 检查 。 建 议 配 合 下 节 将 要 介 























致 其 他 用 户 的 ARP 表 中 记录 错误 的 网 关 地 址 
不 能 被 网 关 接 收 。 此 时 可 以 在 网 关 设 备 上 配置 发 送 免 费 ARP 报 文 














局 或 VLANIEF 接 口 下 配置 发 送 免费 ARP 报 文 功能 ， 有 具体 配置 步骤 如 表 16-15 所 示 。 全 


G 
配置 了 该 功能 时 ，VLANIF 接 口 下 的 配置 优先 生效 。 


说 明 

本 项 ARP 安 全 
不 是 很 高 ， 
合 使 用 。 

















昌 户 的 ARP 表 项 ， 使 得 合法 用 户 ARP 表 项 中 记录 的 是 正确 的 网 关 地 址 映射 关 

















入 已 使 能 。 当 全 局 和 VLANIF 接 口 下 同时 





寺 性 ，S5700LI 和 S5700S-LI 子 系列 不 支持 ， 其 他 S 系 列 均 支 持 。 男 外 ， 本 方案 的 有 效 性 也 
毕竟 网 关 不 可 能 总 发 送 免费 ARP 报 文 ， 攻 击 者 还 是 有 空子 可 钻 的 。 建 议 与 其 他 ARP 特 性 方案 配 











表 16-15 发 送 ARP 免 费 报 文 的 配置 步骤 











命令 


说 明 








system-view 


进入 系统 视图 





例如 : <HUAWEI> system-view 









interface vlanif interface-number 
例如 : [HUAWEI] interface vlanif 


(可 选 ) 键入 要 配置 主动 发 送 免费 ARP 报 文 的 VLANIF 
接口 ,进入 VLANIF 接口 视图 。 在 系统 视图 下 配置 主动 
10 发 送 免费 ARP 报 文 功能 无 需 执 行 此 步 又 










arp gratuitous-arp send enable 
例如 : [HUAWEI]arp gratuitous-arp 
send enable 

或 [HUAWEI-Vlanifl0]arp 
gratuitous-arp send enable 


缺 省 情况 下 ， 


使 能 主动 发 送 免费 ARP 报 文 的 功能 

主动 发 送 免费 ARP 报 文 功能 处 于 没有 使 
能 状态 , 可 用 undo arp gratuitous-arp send enable 命令 
去 使 能 主动 发 送 免费 ARP 报 文 的 功能 








arp gratuitous-arp send interval 
interval-time 

例如 : [HUAWEI] arp gratuitous- 
arp send interval 1000 

或 [HUAWEI-Vlanifl0] arp g 
ratuitous-arp send interval 100 








配置 主动 发 送 免 费 ARP 报 文 的 时 间 间 隔 ， 取 值 范 围 为 
1 一 86 400 的 整数 秒 

缺 省 情况 下 ，S2700/3700/5700/6700 系列 发 送 免 费 ARP 
报 文 的 时 间 间 隔 为 608，S7700/9300/9300E/9700 系列 发 
送 免费 ARP 报 文 的 时 间 间 隔 为 30s， 可 用 undo arp 
gratuitous-arp send interval 命令 将 发 送 免 费 ARP 报 文 
的 时 间 间 隔 恢复 为 缺 省 值 










16.3.5 配置 ARP 报 文 内 MAC 地 址 一 致 性 检查 























ARP 报 文 内 MAC 地 址 一 致 性 检查 功能 主要 应 用 


MAC 地 址 和 ARP 报 文 数据 区 中 的 源 /目的 MAC 地 址 不 同 的 ARP 攻 击 。 配 置 该 功能 后 ， 网 关 设 备 在 
也 址 和 ARP 报 文 数据 区 中 的 源 / 目 





项 学 习 前 将 对 ARP 报 文 进行 检查 。 如 果 以 太 网 数据 
的 MAC 地 址 不 同 ， 则 认为 是 攻击 报 文 ， 将 其 丢弃 ; 
说 明 








本 项 ARP 安 全 特性 ，S2700/3700 系 列 交换 机 不 支持 ， 且 3 
下 配置 ， 不 支持 在 VLANIF 接 口 和 物理 子 接口 上 配置 。 当 VLANIF 接 口 

















于 网 关 设 备 上 ， 可 以 防御 以 太 网 数据 帧 首部 
































帧 首部 中 的 源 /目的 MACH 
否则 ， 继 续 进行 ARP 学 习 。 

















上 的 源 /目的 
进行 ARP 表 





其 他 系列 也 只 能 在 物理 接口 或 者 Eth-Trunk 接 口 
收 到 ARP 报 文 时 ，ARP 报 文 内 MAC 地 


址 一 致 性 检查 遵循 成 员 接 口 下 的 检查 规则 ， 当 物理 子 接口 收 到 ARP 报 文 时 ，ARP 报 文 内 MAC 地 址 一 致 性 检 











查 遵循 主 接口 下 的 检查 规则 。 








ARP 报 文 内 MAC 地 址 一 致 性 检查 的 配置 步骤 如 表 16-16 所 示 。 











表 16-16 ARP 报 文 内 MAC 地 址 一 致 性 检查 的 配置 步 




















步骤 命令 





说 明 





system-view 
1 例如 : <HUAWEI> 
system-view 





进入 系统 视图 









interface interface-ty 
pe interface-number 
例如 : [HUAWEI] 
interface gigabitethemet 
1/0/1 





tD 


(可 选 ) 键 入 要 
口 或 者 Eth-Trunk 接口 ， 







文 内 MAC 地 址 一 致 性 检查 功能 的 物理 接 
进入 接口 视图 


配 图 ARP 寺 


































16.3.6 配置 ARP 报 文 合 法 性 检查 








为 了 防止 非法 ARP 报 文 的 攻击 ， 可 以 在 接 入 设备 或 网 关 设 备 上 配置 ARP 报 文 合法 性 检查 功能 ，|) 
MAC 地 址 和 IP 地 址 不 合法 的 ARP 报 文 进行 过 滤 。 设 备 提供 以 下 三 种 可 以 任意 组 合 的 检查 项 配置 。 
设备 会 检查 ARP 报 文中 的 源 IP 和 目的 IP 地 址 ， 全 0、 全 1 或 者 组 播 IP 
行 检查 ;对 于 ARP 请 求 报 文 ， 只 检查 源 IP 地 址 。 
也 址 和 以 太 网 数据 帧 首部 中 的 源 MAC 地 址 是 








(1) IP 地 址 检查 : 





的 ， 需 要 丢弃 。 对 于 ARP 应 答 报 文 ， 源 卫 和 目的 卫 地 址 都 进 
设备 会 检查 ARP 报 文中 的 源 MACH 
否 一 致 ， 一 致 则 认为 合法 ， 否 则 丢弃 报 文 。 

(3) 目的 MAC 地 址 检查 : 


(2) 源 MAC 地 址 检查 : 











arp validate 

{ source-mac | 
destination-mac }” 
3 例如 : [HUAWEI- 
GigabitEthernet1/0/1] 
arp validate source- 
mac destination-mac 





使 能 ARP 报 文 内 MAC 地 址 一 致 性 检查 功能 ， 即 对 以 太 网 数据 帧 首 
部 中 的 源 / 目 的 MAC 地 址 和 ARP 报 文 数据 区 中 的 源 / 目 的 MAC 地 址 
进行 一 致 性 检查 的 功能 。 命 令 中 的 选项 说 明 如 下 。 

(1) source-mac: 可 多 选 选 项 ， 指 定 接口 收 到 ARP 报 文 时 对 以 太 网 
数据 帧 首部 中 的 源 MAC 地 址 和 ARP 报 文 数据 区 中 的 源 MAC 地 址 
进行 一 致 性 检查 。 此 时 ， 当 接口 收 到 ARP 请 求 或 者 应 答 报 文 时 ， 均 
只 对 报 文中 的 源 MAC 地 址 进行 一 致 性 检查 

(2) destination-mac: 可 多 选 选项 ， 指 定 接口 收 到 ARP 报 文 时 对 以 太 网 
数据 帧 首部 中 的 目的 MAC 地 址 和 ARP 报 文 数据 区 中 的 目的 MAC 地 址 
进行 一 致 性 检查 。 此 时 ， 当 接口 收 到 ARP 请 求 报 文 时 ， 不 对 报 文 进行 一 致 
性 检查 ， 因 为 ARP 请 求 报 文 是 广播 报 文 ， 目 的 地 址 是 广播 MAC 地 址 ; 当 
接口 收 到 ARP 应 答 报 文 时 ， 对 报 文中 的 目的 MAC 地 址 进行 一 致 性 检查 
如 果 同 时 选择 以 上 两 可 选项 时 ， 当 接口 收 到 ARP 请 求 报 文 时 ， 只 对 
报 文中 的 源 MAC 地 址 进行 一 致 性 检查 ， 当 接口 收 到 ARP 应 答 报 文 
时 ， 对 报 文中 的 源 /目的 MAC 地 址 都 进行 一 致 性 检查 

缺 省 情况 下 ， 不 对 以 太 网 数据 帧 首部 中 的 源 /目的 MAC 地 址 和 ARP 
报 文 数 据 区 中 的 源 / 目 的 MAC 地 址 进行 一 致 性 检查 ， 可 用 undo arp 
validate { source-mac | destination-mac ;命令 去 使 能 对 应 的 ARP 报 
文 内 MAC 地 址 一 致 性 检查 功能 

















设备 会 检查 ARP 应 答 报 文中 的 目 





























来 对 






























































说 明 





目的 MAC 地 址 一 致 ， 一 致 则 认为 合法 ， 和 否则 丢弃 报 文 。 





也 址 都 是 不 合法 











的 MAC 地 址 是 否 和 以 太 网 数据 帧 首部 中 的 




















其 实 后 面 两 项 MAC 地 址 的 检查 与 上 节 介 绍 的 ARP 报 文 内 MAC 地 址 一 致 性 检查 方法 是 一 样 的 。 但 是 ， 通 









































常 ARP 报 文中 源 MAC 地 址 和 以 太 网 数据 帧 首部 中 的 源 MAC 地 址 不 一 致 的 ARP 报 文 ， 以 及 目的 MAC 地 址 和 











以 太 网 数据 帧 首部 中 的 目的 MAC 地 址 不 一 致 的 ARP 应 答 报 文 均 是 ARP 协 议 允 许 的 ARP 报 文 。 因 此 ， 只 有 在 






























































网 络 管理 员 发 现 攻 击 产生 后 ， 通 过 报 文 头 获 取 方 式 定位 、 确 定 了 是 由 于 对 应 项 不 一 致 的 ARP 报 文 时 致 的 攻 




















击 ， 才 能 指定 ARP 报 文 合法 性 ， 检 查 时 需要 检查 源 MAC 地 址 和 目的 MAC 地 址 。 
本 项 ARP 安 全 特性 ， 除 S2700-52P-EI、S2700-52P-PWR-EI 以 外 的 S2700EI 子 系列 ， 
S5700S-LI 子 系列 不 文 持 ， 其 他 S 系 列 均 文 持 。 
ARP 报 文 合 法 性 检查 的 配置 方法 很 简单 ， 仅 需 在 系统 视图 下 配置 arp anti-attack pa 
mac | sender-mac }* 命 令 ， 使 能 ARP 报 文 合法 性 检查 功能 ， 并 指定 ARP 报 文 合 法 性 检查 
明 如 下 。 

















































































































地 址 。S2700/3700/9300/9300 系 列 不 支持 该 选项 。 


(1) 记 : 可 多 选 选项 ， 对 应 前 面 介 绍 的 “IP 地 址 检查 "方式 ， 指 定 在 进行 ARP 报 文 合 


以 及 S5700LI 和 


cket-check { ip |dst- 
项 。 命令 中 的 选项 说 


法 性 检查 时 检查 IP 

















(2) dst-mac: ”可 多 选 选项 ， 对 应 前 面 介绍 的 “目的 MAC 地 址 检查 ”方式 ， 指 定 在 
检查 时 检查 目的 MAC 地 址 。S2700/3700/9300/9300 系 列 不 支持 该 选项 。 


























进行 ARP 报 文 合法 性 








(3) sender-mac : 可 多 选 选 项 ， 对 应 前 面 介绍 的 “ 源 MAC 地 址 检查 ”方式 ， 指 定 
性 检查 时 检查 源 MAC 地 址 。 


















































sender-mac ] * 命 令 去 使 能 ARP 报 文 合 法 性 检查 功能 。 


16.3.7 配置 DHCP 触 发 ARP 学 习 


























在 DHCP 用 户 场景 下 ， 当 DHCP 用 户 数目 很 多 时 ， 设 备 进行 大 规模 ARP 表 项 的 学 习 


























和 网 络 环境 形成 冲击 。 为 了 避免 此 问题 ， 可 以 在 网 关 设 备 上 使 能 DHCP 触 发 ARP 学 习 功 能 。 当 DHCP 服 务 














在 进行 ARP 报 文 合法 








缺 省 情况 下 ， 没 有 使 能 ARP 报 文 合法 性 检查 功能 ， 可 用 undo arp anti-attack packet-check [ ip |dst-mac | 


和 老化 会 对 设备 性 


器 会 

















给 用 户 分 配 了 也 P 地 址 ， 网 关 设备 会 根据 VLANIF 接 口上 收 到 的 DHCP ACK (确认 ) 报 文 直接 生成 该 用 户 的 
已 在 网 关 设 备 上 通过 dhcp snooping enable 命 令 使 能 了 




















ARP 表 项 。 但 DHCP 触 发 ARP 学 习 功 能 生效 的 前 提 是 
DHCP Snooping 功 能 。 
说 明 





















































在 VRRP 和 DHCP Relay 组 合 场景 下 ，VRRP 主 备 设 备 上 都 不 能 再 配置 命令 dhcp snooping enable 和 arp 


learning dhcp-trigger。 网 关 设 备 上 还 可 同时 部 署 动态 ARP 检 测 功能 〈 参 见 本 章 16.3.2 节 ) ， 防 止 DHCP 用 户 的 








ARP 表 项 被 伪造 的 ARP 报 文 恶 意 修改 。 


本 项 ARP 安 全 特性 ， 在 S2700 系 列 中 的 S2700SI 和 S2710SI 子 系列 ， 除 S2700-52P-EI、S2700-52P-PWR-EI 











以 外 的 S2700EI 子 系列 ， 以 及 S5700LI 和 S5700S-LI 子 系列 不 支持 ， 其 他 S 系 列 均 支 持 。 
DHCP 触 发 ARP 学 习 的 配置 方法 也 很 简单 ， 就 是 在 对 应 的 VLANIF 接 口 视图 下 执行 





























arp learning dhcp- 


trigger 命 令 使 能 DHCP 触 发 ARP 学 习 功 能 。 缺 省 情况 下 ， 没 有 使 能 DHCP 触 发 ARP 学 习 功 能 ， 可 用 undoarp 


learning dhcp-trigger 命 令 去 使 能 DHCP 触 发 ARP 学 习 功 能 























16.4 ARP 安 全 配置 管理 





























可 使 用 以 下 display 任 意 视 图 命令 管理 防 ARP 泛 潜 攻 击 配置 。 


(1) display arp anti-attack configuration {arp-rate-limit | arpmiss-rate-limit | arp- spee 








d-limit | arpmiss-speed- 











limit lentry-check | gateway-duplicate | log-trap-timer |packe t-check | all }: 查看 ARP 防 攻 襄 








fF 配置 。 

















(2) display arp-limit [ interface interface-type interface-number ] [ vlan vlan-id ] : 





动态 ARP 表 了 











display 任 意 视 


了 





(1) display arp packet statistics: 

(2) display arp anti-attack statistics check user-bind interface interface-type interface-number: 
进行 ARP 报 文 绑 定 表 匹 配 检查 的 ARP 报 文 丢弃 计数 。 

(3) display arp anti-attack packet-check statistics: 














文 统计 数据 。 


(4) display arp anti-attack arpmiss-record-info [ ip-address ] : 


页 数目 








的 最 大 值 。 
(3) display arp learning strict: 
图 命令 管 



































E 意 视图 





命令 维护 ARP 安 全 


查看 接口 可 以 学 习 到 的 


























查看 全 可 使 





局 和 所 有 VLANIF 接 口上 的 ARP 表 项 严格 学 习 情 况 。 





以 下 























里 防 ARP 欺 骗 配 置 。 
(1) display arp anti-attack configuration check user-bind interface interface-type interface-number: 
下 ARP 报 文 检查 相关 的 配置 。 
(2) display arp anti-attack gateway-duplicate item: 
可 使 用 以 下 display 牺 


查看 接 








查看 ARP 防 网 关 冲 突 攻 击 表 项 。 
包括 监控 ARP 运 行情 况 。 























可 使 用 以 
击 行为 发 送 日 








Mrese 





志和 告 








t 用 





户 视图 


(1) reset arp packet statistics: 








人 名 、 


16.5 丁 





本 贡 将 以 























两 个 





1L 体 的 配置 示例 介 




















16.5.1 ARP 安 全 综合 功能 配置 示例 














本 示例 拓扑 结构 如 图 16-1 所 示 ，Switch 作为 
连接 VLAN10 和 VLAN20 下 的 用 








GE1/0/2 接 








分 别 








命令 清除 ARP 报 文 统计 信 ， 
警 。 清 除 统计 信息 
清除 ARP 报 文 的 统计 信息 。 

(2) reset arp anti-attack statistics check user-bind interface interface-type interface-number: 
配 绑 定 表 而 丢弃 的 ARP 报 文 计数 。 


(3) reset arp anti-attack statistics rate-limit: 




















查看 ARP 处 理 的 报 文 统计 数据 。 











查看 接口 下 





查看 ARP 报 文 合法 性 





今 查 过 程 中 被 过 滤 的 非法 ARP 报 














查看 ARP Miss 消 息 限 速 触发 时 的 相关 信 














自 


En 


清除 ARP 报 文 丢 弃 计数 以 及 配置 对 潜在 的 ARP 攻 
后 ， 以 前 的 统计 信息 将 无 法 恢复 ， 务 必 仔细 确认 。 











清除 由 于 不 匹 





速率 限 和 





清除 由 于 ARP 报 文 超过 j 闭 值 而 被 丢 奔 的 计数 。 








绍 前 面 介绍 的 ARP 安 全 配置 。 

















网 关 通 过 GE1/0/3 接口 连接 一 台 服 务 器 ， 通 过 GE1/0/1 和 
户 。 网 络 中 存在 以 下 ARP 威 胁 ， 现 希望 能 够 防止 这 些 ARP 
































攻击 行为 ， 为 






































上 的 ARP 表 项 ， 造 成 其 他 | 














用 户 提供 更 安全 的 网 络 环境 和 更 稳定 的 网 络 服务 。 
(1) 攻击 者 向 Switch 发 送 伪造 的 ARP 报 文 和 伪造 的 免费 ARP 报 文 进行 ARP 欺 骗 攻 击 ， 
j 户 无 法 正常 接收 数据 报 文 。 


恶意 修改 Switch 








VLAN 30 








VLANIF 30 
10.10.10.2/24 0.10.10.3/24 
1 Switch 
GEL03 Gateway 
GE1/0/2 


VLANIF 20 
9.9.9.4/24 


rr sseoooono。 caoeaaooaaoaaooaeNsaooaoaoaooaasononeoano 





User2 手 User4 : 


i: Userl User3 1 
: 8.8.8.2/24 8.8.8.3/24 9.9.9.2/24 9.9.9.3/24 ; 
lai 2-2-2 3-3-3 4-4-4 





图 16-1 ARP 安 全 功能 配置 示例 拓扑 结构 















































(2) 攻击 者 发 出 大 量 
(3) 用 户 Userl 构 造 大量 源 了 地 址 变化 、MAC 地 址 固 
ARP 表 资源 被 耗 尽 以 及 CPU 进程 繁 民 
(4) 用 户 User3 构 造 大 量 ; 
影响 到 正常 业务 的 处 理 。 
1. 基本 配置 思路 分 析 
针对 这 样 的 配置 环境 ， 首 先 











到 


































































































要 分 析 网 络 ! 














， 影 响 正常 业务 的 处 理 。 
原 IP 地 址 固定 的 ARP 报 文 进行 ARP 泛 洪 攻击 ， 造 成 Switch 的 CPU 进程 繁忙 ， 


存 在 哪些 ARP 方 


目的 I 了 P 地 址 不 可 达 的 IP 报 文 进行 ARP 泛 洪 攻击 ， 造 成 Switch 的 CPU 负荷 过 重 。 


定 的 ARP 报 文 进行 ARP 泛 洪 攻击 ， 造 成 Switch 的 
































掉 的 安全 隐患 ， 然 后 有 针对 性 地 根据 本 章 前 



































采用 的 解决 方案 如 下 。 


























掉 表 16-2 和 表 16-11 所 给 出 的 可 用 解决 方案 选择 对 应 的 解决 方案 。 针 对 示例 中 介绍 的 几 种 ARP 威 胁 ， 对 应 可 





(1) 配置 ARP 表 项 严格 学 习 功能 和 ARP 表 项 固化 功能 ， 实 现 防 止 伪造 的 ARP 报 文 错误 地 更 新 Switch 的 












































ARP 表 项 ; 配置 免费 ARP 报 文 主动 丢弃 功能 ( 仅 适 用 
伪造 的 免费 ARP 报 文 错误 地 更 新 设备 ARP 表 项 。 




















(2) 配置 根据 源 IP 地 址 进行 ARP Miss 消 息 限 速 ， 实 现 防 止 用 户 侧 存 在 攻击 者 发 出 大 量 目 


可 达 的 IP 报 文 触发 大 量 ARP Miss 消 息 ， 形 成 ARP 泛 潜 攻击 





于 S7700/9300/9300E/9700 系 列 交换 机 ) ， 实 现 防 止 

















的 卫 地 址 不 
服务 器 发 出 




















。 同 时 需要 保证 Switch 可 以 正常 处 理 

















的 大 量 此 类 报 文 ， 避 免 因 丢弃 服 务 器 发 出 的 大 量 此 类 报 文 而 造成 网 络 无 法 正常 通信 。 























(3) 配置 基于 接 








的 ARP 表 项 限制 以 及 根据 源 MACd 























也 址 进行 ARP 限 速 ， 实 现 防止 Userl 发 送 的 大 量 源 








卫 地 址 变化 MAC 地 址 固定 的 ARP 报 文 形成 的 ARP 泛 洪 攻 击 ， 避 免 $Switch 的 ARP 表 资源 被 耗 斥 ， 并 避免 CPU 进 


程 繁忙 。 

(4) 配置 根据 源 IP 地 址 进行 ARP 限 速 ， 实 现 防 止 User 
泛 洪 攻击 ， 避 免 Switch 的 CPU 进 程 繁 忙 。 
2. 有 具体 配置 步骤 


六 






























































(1) 批量 创建 VLAN10、VLAN20 和 VLAN30， 并 将 GE1/0/1 接 口 加 入 VLAN10 中 ， 














VLAN20 中 ， GE1/0/3 接 口 加 入 VLAN30 中 。 
<HUAWEI>system-view 
[HUAWEI] vlan batch 10 20 30 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] port link-type trunk 





3 发 送 的 大 量 源 IP 地 址 固定 的 ARP 报 文 形成 的 ARP 




















GE1/0/2 接 口 加 入 





[HUAWEI-GigabitEthernet1/0/1] port trunk allow-pass vlan 10 
[HUAWEI-GigabitEthernet1/0/1] quit 
[HUAWEI] interfacegigabitethernet 1/0/2 
[HUAWEI-GigabitEthernet1/0/2] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/2] port trunk allow-pass vlan 20 
[HUAWEI-GigabitEthernet1/0/2] quit 
[HUAWEI] interface gigabitethernet 1/0/3 
[HUAWEI-GigabitEthernet1/0/3] port link-type trunk 
[HUAWEI-GigabitEthernet1/0/3] port trunk allow-pass vlan 30 
[HUAWEI-GigabitEthernet1/0/3] quit 
(2) 创建 接口 VLANIF10、VLANIF20、VLANIF30， 并 按 中 标注 配置 各 VLANIF 接 口 的 了 P 地 址 。 
[HUAWEI] interface vlanif 10 
[HUAWEI-Vlanif10] ip address 8.8.8.4 24 
[HUAWEI-Vlanif10] quit 
[HUAWEI] interface vlanif 20 
[HUAWEI-Vlanif20] ip address 9.9.9.4 24s 
[HUAWEI-Vlanif20] quit 
[HUAWEI] interface vlanif 30 
[HUAWEI-Vlanif30] ip address 10.10.10.3 24 
[HUAWEI-Vlanif30] quit 
(3) 配置 ARP 表 项 严格 学 习 功 能 ， 使 网 关 设 备 只 对 自己 主动 发 送 的 ARP 请 求 报 文 的 应 答 报 文 触发 本 学 
习 ARP 表 项 ， 其 他 设备 主动 向 网 关 设 备 发 送 的 ARP 报 文 不 能 触发 本 学 习 ARP 表 项 。 防 止 从 伪造 的 ARP 报 文中 
学 习 ARP 表 项 。 
[HUAWEI] arp learning strict 
(4) 配置 ARP 表 项 固化 模式 为 fixed-mac 方 式 。 使 网 关 设 备 对 收 到 的 ARP 报 文中 的 MAC 地 址 与 ARP3 
对 应 表 项 的 MAC 地 址 进行 匹配 检查 ， 直 接 丢 弃 MAC 地 址 不 匹配 的 ARP 报 文 。 
[HUAWEI] arp anti-attack entry-check fixed-mac enable 
(5) 配置 免费 ARP 报 文 主动 丢弃 功能 。 使 网 关 设备 直接 丢弃 免费 ARP 报 文 。 
[HUAWEI] arp anti-attack gratuitous-arp drop 
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(6) 配置 根据 源 IP 地 址 进行 ARP Miss 消 息 限 速 ， 对 Server 〈IP 地 址 为 10.10.10.2) 的 ARP Miss 消 息 进行 
限 速 ， 人 允许 Switch 每 秒 最 多 处 理 该 卫 地 址 触发 的 40 个 ARP Miss 消 息 ， 对 于 其 他 用 户 ， 人 允许 Switch 每 秒 最 多 


















































处 理 同一 个 源 IP 地 址 触发 的 20 个 ARP Miss 消 息 。 


[HUAWEI] arp-miss speed-limit source-ip maximum20 














[HUAWEI] arp-miss speed-limit source-ip 10.10.10.2 maximum40 
(7) 配置 基于 接口 的 ARP 表 项 限制 ， 使 GE1/0/1 接 口 最 多 可 以 学 习 到 20 个 动态 ARP 表 项 。 
[HUAWEI] interface gigabitethernet 1/0/1 
[HUAWEI-GigabitEthernet1/0/1] arp-limit vlan 10 maximum20 
[HUAWEI-GigabitEthernet1/0/1] quit 
(8) 配置 根据 源 MAC 地 址 进行 ARP 限 速 ， 对 用 户 Userl (MAC 地 址 为 1-1-1) 进行 ARP 报 文 限 速 ， 每 
秒 最 多 只 人 允许 10 个 该 MAC 地 址 的 ARP 报 文通 过 。 






































































































































[HUAWEI] arp speed-limit source-macl-1-1maximum 10 


























(9) 配置 根据 源 耻 地 址 进行 ARP 限 速 ， 对 用 户 User3 〈IP 地 址 为 9.9.9.2) 进行 ARP 报 文 限 速 ， 每 秒 最 多 





























图 | 





允许 10 个 该 他 地 址 的 ARP 报 文通 过 
[HUAWEI] arp speed-limit source-ip 9.9.9.2 maximum10 


SS 




















配置 好 后 ， 可 使 用 display arp learning strict 命 令 查看 全 局 已 经 配置 ARP 表 项 严格 学 习 功 能 ， 以 验证 配置 


















































结果 。 有 具体 如 下 。 
[HUAWEI] display arp learning strict 





The global configuration:arp learning strict 


Interface LearmingStrictState 


Total:0 

Force-enable:0 

Force-disable:0 

还 可 通过 display arp-limit 命 令 查看 接口 可 以 学 习 到 的 动态 RY 目的 最 大 值 ; 

















过 display arp anti- 


attack configuration all 命 令 查 看 当前 ARP 防 攻击 配置 情况 。 可 通过 display arp packet statistics 命 令 查 看 ARP 处 



































At 


里 的 报 文 统计 数据 ， 具 体 如 下 。 

[HUAWEI] display arp packet statistics 

ARP Pkt Received: sum 8678904 

ARP-Miss Msg Received: sum 183 

ARP Learnt Count: sum 37 

ARP Pkt Discard For Limit: sum 146 

ARP Pkt Discard For SpeedLimit: sum 40529 
ARP Pkt Discard For Proxy Suppress: sum 0 
ARP Pkt Discard For Other: sum 8367601 
ARP-Miss Msg Discard For SpeedLimit: sum 20 
ARP-Miss Msg Discard For Other: sum 104 









































16.5.2 防止 ARP 中 间 人 攻击 配置 示例 
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] 户 的 数据 被 中 间 人 鳃 取 ， 同 时 希望 能 够 了 解 当 前 ARP 中 间 人 攻击 的 频率 和 范围 。 











~ 





1 显示 信息 可 知 ，Switch 上 产生 了 ARP 报 文 和 ARP Miss 消 息 琅 弃 计 数 ， 表 明 ARP 安 全 功能 已 经 生效 。 


本 示例 拓扑 结构 如 图 16-2 所 示 ，SwitchA 通 过 GE2/0/1 接 口 连接 DHCP Server， 通 过 GE1/0/1 和 GE1/0/2 接 
分 别 连 接 DHCP 客 户 端 UserA 和 UserB， 通 过 GE1/0/3 接 口 连接 静态 配置 IP 地 址 的 用 户 UserC。SwitchA 的 


GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1 接口 都 属于 VLAN10。 现 希望 能 够 防止 ARP 中 间 人 攻击 ， 避 人 免 合 法 





以 及 接口 信 息 进 行 DHCP Snooping 绑 定 表 匹配 检查 ， 防 止 ARP 中 间 人 攻击 。 


SwitchB 


DHCP Server 


GE2/0/1 







SwitchA 





GE1/0/2 |1GEUMO3 


UserA UserB UserC 
IP:10.0.0.2/24 
DHCP Client DHCP Client MAC:1-1-1 
VLAN ID:10 














图 16-2 防止 ARP 中 间 人 攻击 配置 示例 拓扑 结构 











1. 基本 配置 思路 分 析 
本 示例 可 以 采取 以 下 方法 来 预防 ARP 中 间 人 攻击 。 












































(1) 使 能 动态 ARP 检测 功能 ， 使 SwitchA 对 收 到 的 ARP 报 文 对 应 的 源 卫 地 址 、 源 MAC 地 址 、VLAN 


























(2) 使 能 动态 ARP 检 测 丢 弃 报 文告 警 功能 ， 使 SwitchA 开 始 统计 丢 弃 的 不 








匹配 DHCP Snooping 绑 定 表 





























日 万 忆 
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2. 具体 配置 步骤 











(1) 创建 VLAN10， 并 将 GE1/0/1、GE1/0/2、GE1/0/3、GE2/0/1 接 口 加 入 VLAN10 中 





<HUAWEI>system-view 

[HUAWEI] sysname SwitchA 

[SwitchA] vlan batch 10 

[SwitchA] interface gigabitethernet 1/0/1 
[SwitchA-GigabitEthernet1/0/1] port link-type access 
[SwitchA-GigabitEthernet1/0/1] port default vlan 10 
[SwitchA-GigabitEthernet1/0/1] quit 

[SwitchA] interface gigabitethernet 1/0/2 
[SwitchA-GigabitEthernet1/0/2] port link-type access 
[SwitchA-GigabitEthernet1/0/2] port default vlan 10 
[SwitchA-GigabitEthernet1/0/2] quit 

[SwitchA] interface gigabitethernet 1/0/3 
[SwitchA-GigabitEthernet1/0/3] port link-type access 
[SwitchA-GigabitEthernet1/0/3] port default vlan 10 
[SwitchA-GigabitEthernet1/0/3] quit 

















的 ARP 报 文 数量 ， 并 在 丢弃 数量 超过 告警 六 值 时 能 以 告警 的 方式 提醒 管理 员 ， 这 样 可 以 使 
信息 以 及 报 文 丢 弃 计数 来 了 解 当前 ARP 中 间 人 攻击 的 频率 和 范围 。 
(3) 配置 DHCP Snooping 功 能 ， 并 为 UserC 配 置 静 态 绑 定 表 (对 于 采用 DHCP 自 动 分 配 JP 
和 UserB， 在 设备 使 能 DHCP Snooping 功 能 后 ， 当 他 们 上 线 时 设备 会 自动 生成 DHCP Snooping 绑 定 表 ) ， 使 


动态 ARP 检 测 功 能 生效 。 





o 








里 员 根 据 告警 




















也 址 的 UserA 


[SwitchA] interfacegigabitethernet 2/0/1 

[SwitchA-GigabitEthernet2/0/1] port link-type trunk 

[SwitchA-GigabitEthernet2/0/1] port trunk allow-pass vlan 10 

[SwitchA-GigabitEthernet2/0/1] quit 

(2) 使 能 动态 ARP 检测 功能 和 动态 ARP 检测 丢弃 报 文告 警 功能 。 在 用 户 侧 的 GE1/0/1、GE1/0/2、 

GE1/0/3 接 口 下 使 能 动态 ARP 检 测 功能 和 动态 ARP 检 测 丢 弃 报 文告 警 功能 。 因 为 这 3 个 接口 的 配置 完全 一 相 
所 以 下 面 仅 以 GE1/0/1 接 口 为 例 进 行 介 绍 。 

[SwitchA] interfacegigabitethernet 1/0/1 

[SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind enable 

[SwitchA-GigabitEthernet1/0/1] arp anti-attack check user-bind alarm enable 

[SwitchA-GigabitEthernet1/0/1] quit 

(3) 配置 DHCP Snooping 功 能 。 

[SwitchA] dhcp enable 

[SwitchA] dhcp snooping enable #--- 全 局 使 能 DHCP Snooping 功 能 

[SwitchA] vlan 10 

[SwitchA-vlan10] dhcp snooping enable #--- 在 VLAN10 内 使 能 DHCP Snooping 功 能 ， 这 就 会 为 VLAN 10 
中 的 动态 IP 地 址 用 户 UserA 和 UserB 自 动 生 成 绑 定 表 

[SwitchA-vlan10] guit 

[SwitchA] interfacegigabitethernet 2/0/1 

[SwitchA-GigabitEthernet2/0/1] dhcp snooping trusted #--- 配 置 接口 GE2/0/1 为 DHCP Snooping 信 任 接 口 ， 
所 有 接口 缺 省 均 为 非 信 任 端口 

[SwitchA-GigabitEthernet2/0/1] quit 

[SwitchA] user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface gigabitethernet 1/0/3 
vlan 10”#--- 在 信任 接口 GE2/0/1 上 为 采用 静态 JP 地址 分 配 的 UserC 用 户 配置 静态 绑 定 表 

配置 好 后 ， 可 使 用 display arp anti-attack configuration check user-bind interface 命 令 查看 各 接口 下 动态 
ARP 检 测 的 配置 信息 ， 以 下 是 GE1/0/1 接 口上 的 动态 ARP 检 测 的 配置 信息 。 可 以 看 到 已 使 能 了 动态 ARP 检 测 
功能 和 动态 ARP 检 测 丢 弃 报 文告 警 功能 。 

[SwitchA] display arp anti-attack configuration check user-bind interfacegigabitethernet1/0/1 
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arp anti-attack check user-bind enable 
arp anti-attack check user-bind alarm enable 
还 可 通过 display arp anti-attack statistics check user-bind interface 命 令 查 看 各 接口 下 动态 ARP 检 测 的 ARP 
报 文 丢 弃 计数 ， 以 下 是 GE1/0/1 接 口 下 动态 ARP 检 测 的 ARP 报 文 丢 弃 计 数 。 
[SwitchA] display arp anti-attack statistics check user-bind interfacegigabitethernet 1/0/1 
Dropped ARP packet number is 966 
Dropped ARP packet number since the latest warning is 605 
1 显示 信息 可 知 ，GE1/0/1 接 口 下 产生 了 ARP 报 文 丢 弃 计数 和 丢弃 的 ARP 报 文告 警 数 ， 表 明 防 ARP 中 间 
人 攻击 功能 已 经 生效 。 当 在 各 接口 下 多 次 执行 命令 display arp anti-attack statistics check user-bind interface 
时 ， 我 们 就 可 根据 显示 信息 中 “Dropped ARP packet number is” 字 段 值 的 变化 来 了 解 ARP 中 间 人 攻击 频率 和 范 
8 






























































17.1 AAA 基础 











AAA 配置 与 管理 











17.2 本 地 方式 认证 和 授权 配置 


17.3RADIUS 方 式 认 证 、 
17.4 HWTACACS 方 式 认 证 、 授 权 和 i 
17.5 AAA 认 证 、 
AAA 是 Authentication (认证 ) 、 
提供 了 认证 、 





种 管理 机 制 ， 

















授权 和 计 费 配置 











十 费 配 


























授权 和 计 费 配置 管 




















授权 、 





计 费 3 种 安 





全 功能 


置 











。 同 时 提供 





Authorization 〈 授 权 ) 和 Accounting 〈 计 费 


权 和 计 费 方式 、HWTACACS 服 务 器 认证 /授权 和 计 费 三 种 AAA 方案 。 








费 ” 方 式 ， 因 











为 这 两 和 


RADIUS 服 务 器 或 HWTACACS 服 务 器 完成 的 。 


与 下 一 章 介 




















设备 上 部 署 ) 进行 的 认 记 
授权 和 计 费 的 方案 
地 用 户 信 息 或 者 远程 RADIUS 服 务 器 上 配置 的 用 户 
让 绍 华为 $ 系 列 交换 机 所 支持 的 以 - 


户 ) 进行 认证 、 














本 章 将 全 面 介 











是 完全 相同 或 相近 的 ， 所 以 整体 来 说 本 章 内 容 3 
HWTACACS 服 务 器 的 配置 方法 ， 因 为 在 后 
应 的 服务 器 上 配置 的 。 
RADIUS 服务 器 功能 





征 元 王 





多 种 RADIUS 服务 器 或 者 
生 均 是 在 对 
Windows 和 Linux 服 务 器 操作 系统 中 也 有 提供 











属性 及 授权 属 1 








17.1 AAA 基 t 








AAA 是 Authentication (认证 ) 、 

计 费 3 种 安全 功能 。 
户 可 以 使 用 哪些 服务 ; 
可 以 只 使 用 AAA 提供 
份 认 证 ， 如 果 还 希望 对 员工 使 用 网 络 的 | 


授权 、 


[| 
人 
































绍 的 NAC 方 案 中 的 802.1x 认 证 、MAC 地 址 








后 四 
方式 中 的 认证 /授权 / 计 费 功能 的 实现 不 是 由 本 地 设备 完成 的 ， 而 是 所 

















) 的 简称 ， 是 网 络 安全 的 一 
本 地 认证 /授权 方式 、RADIUS 服 务 器 认证 / 授 


1 两 种 可 视 为 “委托 认证 /授权 / 计 











配置 的 远程 











和 了 Portal 认 证 方式 基于 接 入 设备 接 





























j 户 ， 也 可 以 是 特定 





E 方 式 不 同 ，AAA 采 用 直 
。 当 然 ， 在 NAC 的 各 利 











言 恩 进 行 认证 ， 甩 

















不 复杂 ) 。 不 过 ， 














其 中 “认证 
“ 计 费 ”是 记录 

















的 一 种 或 两 种 安全 




















”是 用 来 验证 上 














上 三 种 AAA 方案 本 
在 学 习 本 章 内 容 前 ， 如 
面 两 种 委托 认证 /授权 / 计 费 方案 中 用 户 


起 于 用 户 《 可 以 是 所 有 
h 认 证 方式 中 ， 也 是 需要 信 
以 本 章 的 内 容 也 是 下 音 
置 与 管理 方法 (这 3 种 方案 的 许多 配置 
E 议 先 学 习 一 种 或 























目前 这 两 种 服务 器 





























j 户 是 否 


E 的 用 户 使 用 





























通过 认 鹿 





服务 。 











例如 ， 公 

















17.1.1 AAA 的 基本 构架 














能 了 AAA 功 和 
备 上 使 能 ) ，1 

















JAAA 服 务 器 就 是 专门 上 



































来 认证 、 授 权 和 计 费 的 





提供 了 对 应 服务 器 功能 的 网 络 设 备 上 配置 ) ， 如 图 17-1 所 示 。 





用 户 


AAA 客 户 端 


了 可 以 获得 网 络 ; 
网 络 资源 的 情况 
司 仅仅 想 让 员工 在 i 
青 况 进行 记录 ， 那 么 还 需要 配置 计 费 服务 器 。 












































Authorization (授权 ) 和 Accounting 〈 计 费 ) 的 简称 ， 提 供 


〈 仅 可 在 接 入 
] 户 组 中 
助 AAA 方 案 中 配置 
内 容 的 基础 。 














的 用 
的 本 





























| 商 基本 上 都 有 相应 的 服务 器 软件 ， 








了 认证 、 








问 权 ; “授权 "是 


授权 i 





通过 认证 的 
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to 




















AAA 服 务 器 
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当然 ， 在 实际 网 络 应 用 中 ， 
访问 茶 些 特定 资源 的 时 候 进行 时 



































“客户 端 / 服 务 器 *”(C/S) 结构 ， 其 中 AAA 客户 端 〈 也 称 网 络 接 入 服务 器 一 NAS) 就 是 使 
E 的 网 络 设备 (可 以 是 网 络 中 任意 一 台 设 备 ， 不 一 定 是 接 入 设备 ， 而 且 可 以 在 网 络 中 多 个 设 
服务 器 (可 以 由 服务 器 主机 配置 ， 





也 可 以 由 





的 认 训 


(本 地 方式 不 提 





In User Service， 远 程 


缺点 是 存储 信 ， 














1. AAA 认证 
华为 $ 系 列 交 换 机 
(1) 不 认证 : 对 


























图 17-1 AAA 的 寺 









































的 AAA 功能 支持 以 下 认证 方式 。 
j 户 非常 信任 ， 不 对 其 进行 合法 检查 ， 一 般 情 况 下 不 采 











(2) 本 地 认 i 











FE: 将 用 户 信 息 配 置 在 本 


























电量 受 设备 硬件 条 














在 设备 上 使 能 了 AAA 功能 后 ， 当 用 户 需要 通过 AAA 客户 端 访 问 某 个 网 络 前 ， 
得 访问 该 网 络 的 权限 。 但 这 个 任务 通常 不 是 由 担当 AAA 客户 端的 设备 自己 来 完成 的 ， 而 是 通过 设备 把 用 
FE、 授 权 、 计 费 信息 发 送 给 AAA 服务 器 来 完成 的 。 当 然 ， 如 果 在 担当 AAA 客 
了 相应 的 AAA 服务 器 功能 ， 则 此 时 客户 端 和 服务 器 妆 
供 计 费 功能 ) 了 。 


设备 上 。 本 地 认证 的 优点 是 速度 ; 








牛 限制 。 









































(3) 远程 认 i 








认 订 

















FE 拨 入 用 户 朋 

















Control System， 华 为 终端 访问 控制 系统 ) 协议 进行 远程 认证 。 


2. AAA 授权 


华为 系列 交换 机 的 AAA 功 能 支持 以 下 5 种 授权 方式 


(1) 不 授权 : 不 对 用 户 进 行 授权 处 理 。 
(2) 本 地 授权 : 根据 本 地 设备 为 本 





问 目录 等 ) 进行 授权 。 






















































































[二 
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起 本 构架 图 
























































户 端的 设备 上 同时 配置 
就 为 一 体 了 ， 这 时 实现 的 是 AAA 本 地 认证 和 授权 


j 这 种 方式 。 
决 ， 可 以 为 运营 商 降 低 成 本 ， 


需要 先 从 AAA 服务 器 中 获 





户 












































E: 将 用 户 信 息 配 置 在 AAA 认 证 服务 器 上 。 支 持 通过 RADIUS (Remote Authentication Dial 
民 务 ) 协议 或 HWTACACS (HuaWei Terminal Access Controller Access 





用 户 账 号 配置 的 相关 属性 《如 允许 使 用 的 接 入 服务 类 型 和 FTP 访 










































































(3) HWTACACS 授 权 : 由 HWTACACS 服 务 器 对 用 户 进 行 远程 授权 。 

(4) 证 authenticated 授权 : 如 果 用 户 通过 了 认证 ， 而 且 使 用 的 认证 模式 是 本 地 或 远程 认证 ， 则 直接 为 
用 户 授权 。 

(5) RADIUS 认证 成 功 后 授权 : RADIUS 协议 的 认证 和 授权 是 绑 定 在 一 起 的 ， 不 能 单独 使 用 RADIUS 
进行 授权 。 

3. 计 费 

华为 S 系 列 交 换 机 的 AAA 功 能 支持 以 下 3 种 计 费 方式 (不 支持 本 地 计 费 方式 ) 。 

(1) 不 计 费 : 不 对 用 户 计 费 。 

(2) RADIUS 计 费 : 设备 将 计 费 报 文 送 往 RADIUS 服 务 器 ， 由 RADIUS 服务 器 完成 对 用 户 的 计 费 。 

(3) HWTACACS 计 费 : 设备 将 计 费 报 文 送 往 HWTACACS 服 务 器 ， 由 HWTACACS 服 务 器 完成 对 用 户 
的 计 费 。 


17.1.2 AAA 基于 域 的 用 户 




















哄 








RADIUS 或 者 HWTACACS 服 务 器 模板 ， 相 当 于 对 用 户 进 
E、 授 权 和 计 费 方案 进行 认证 、 授 权 和 计 费 ， 所 以 本 章 后 面 将 
的 域 下 被 绑 定 、 应 用 才能 对 具体 用 
缺 省 情况 下 ， 设 备 存在 配置 名 为 default 和 default_admin 两 个 域 ， 全 


认 训 





eran 

















YH 





域 为 接 入 用 户 的 人 











华为 系列 交换 机 通过 域 来 进行 AAA 用 户 管理 ， 每 个 域 下 可 以 应 用 不 同 的 认 训 























管理 域 为 default_admin。 两 个 域 均 不 能 删 
快 省 域 ， 缺 省 为 本 地 认证 ; 







































































户 生 效 。 

















行 分 类 


除 ， 只 能 修改 。 当 无 法 确认 接 入 





管理 。 属 于 域 ! 




















的 | 





] 户 通过 和 帮 


E、 授 权 和 计 费 方案 ， 以 及 











FE 该 域 ! 

















应 ) 
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要 介绍 的 AAA 方案 配置 中 ， 一 定 要 在 对 应 





























局 缺 省 普通 域 为 default， 

















j 户 的 域 时 使 




















default_admin 域 为 管理 











缺 省 
E 员 账户 (如 http、SSH、telnet、terminal 和 

















全 局 缺 省 
域 ， default 











fp 用 户 ) 的 缺 省 域 ， 缺 省 为 本 地 认证 。 














用 户 所 属 的 域 是 由 域 分 隔 符 后 的 字符 捉 来 决定 的 。 域 分 隔 符 可 以 是 为 “<@”、“*、“%” 等 符号 ， 如 





user@huawei 就 表示 属于 huawei 域 。 如 





说 明 









































户 名 中 没有 带 @， 就 属于 系统 缺 省 的 default 域 。 

















自 定 义 的 域 可 以 同时 被 配置 成 全 局 缺 省 普通 域 和 全 




















器 的 授权 信息 优先 级 低 ， 即 优先 使 用 


























项 授权 时 域 的 授权 属性 才 生 效 。 当 然 通 常 是 





17.1.3 RADIUS 协 议 




















RADIUS 最 初 仅 是 针对 拨号 用 户 的 AAA 协议 ， 后 来 随 着 




















绾 理 域 。 但 域 下 配置 的 授权 信息 较 AAA 服 务 
在 AAA 服务 器 无 该 项 授权 或 不 文 持 该 
属性 一 致 。 


























j 户 接 入 方式 的 多 样 化 发 展 ，RADIUS 也 适应 

















多 种 用 户 接 入 方式 ， 如 以 太 网 接 入 、ADSL 接 入 。 它 通过 认证 授权 来 提供 接 入 服务 ， 通 过 计 费 来 收集 、 记 录 








2 





























1. RADIUS 服务 器 


RADIUS 服务 器 程序 一 般 和 运行 在 中 心计 算 机 或 工作 站 
责 接收 用 户 连 接 请 求 并 认证 用 户 ， 然 后 给 客户 端 返回 






































服务 器 通常 要 维护 以 下 3 个 数据 库 。 






































日 户 对 网 络 资 源 的 使 用 。 该 协议 定义 了 基于 UDP 的 RADIUS 帧 格式 及 其 消息 传输 机 种 
1812、1813 分 别 作为 认证 (包括 授权 ) 、 计 费 端 















































二 





， 并 规定 UDP 端口 





全 护 相 关 的 用 户 认 证 和 网 络 服务 访问 信息 ， 负 
的 信息 《如 接受 /拒绝 认证 请 求 ) 。RADIUS 














(1) Users: 用 于 存储 用 户 信息 (如 用 户 名 、 口 令 以 及 使 用 的 协议 、IP 地 址 等 配置 信息 〉。 
(2) Clients: 用 于 存储 RADIUS 客户 端的 信息 《如 接 入 设备 的 共享 密 钥 、 卫 地 址 等 ) 。 

















(3) Dictionary: 用 于 存储 RADIUS 协议 中 的 属性 和 属性 值 含 义 


2. RADIUS 客户 端 











的 信息 。 


RADIUS 客户 端 程序 一 般 位 于 网 络 接 入 服务 器 NAS (Network Access Server) 设备 上 ， 可 以 遍布 整个 网 

















络 ， 负 责 传输 各 个 接 入 网 络 用 户 信息 到 指定 的 RADIUS 服务 器 ， 然 后 根据 从 RADIUS 服务 器 返回 的 信息 进行 









































相应 处 理 《〈 如 接受 /拒绝 用 户 接 入 ) 。 
3， 安 全 机 制 








RADIUS 客户 端 和 RADIUS 服务 器 之 间 认 证 消息 的 交互 是 通过 共享 密 钥 来 对 传输 数据 加 密 的 ， 但 共 亭 
钥 不 通过 网 络 来 传输 ， 增 强 了 信息 交 








4. 认证 和 计 费 消息 流程 











RADIUS 客户 端 与 服务 器 间 的 信息 交互 流程 如 图 17-2 所 示 。 


(1) 发 送 用 户 名 和 密码 
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(2) 发 送 认 证 请 求 


QQ 一 


用 户 


图 17-2 RADIUS 客户 端 与 服务 器 间 的 信 ， 


(3) 响应 认证 请 求 


RADIUS 服务 器 


刀 交 互 流程 





(1) 用 户 访问 RADIUS 客户 端 设 备 时 ， 会 按照 提示 输入 用 户 名 和 密码 ， 发 送 给 客户 设备 。 
(2) 客户 端 设备 在 收 到 用 户 发 来 的 用 户 名 和 密码 信息 向 RADIUS 服务 器 发 送 认 证 请 求 。 
(3) RADIUS 服务 器 接收 到 合法 的 请 求 后 ， 完 成 认证 ， 并 把 所 需 的 用 户 授权 信息 返回 给 接 入 设备 ;对 


























于 非法 的 请 求 ，RADIUS 服 务 器 返回 认 记 



























































RADIUS 计 费 的 信息 交互 流程 和 认证 /授权 的 信息 交互 流程 类 似 。 
17.1.4 HWTACACS 协 议 














HWTACACS 是 在 TACACS (RFC 1492) 基础 上 进行 了 功能 增强 的 安全 协议 。 该 协议 与 RADIUS 协议 类 
似 ， 也 是 采用 C/S 模 式 实现 NAS 与 HWTACACS 服 务 器 之 间 的 通信 。 

HWTACACS 协议 主要 用 于 点 对 点 协议 PPP 和 VPDN (Virtual Private Dial-up Network， 虚 拟 私 有 拨号 
网 络 ) 接 入 用 户 及 终端 用 户 的 认证 、 授 权 和 计 费 。 其 典型 应 用 是 对 需要 登录 到 设备 上 进行 操作 的 终端 用 户 
进行 认证 、 授 权 和 计 费 。 同 样 ， 这 时 的 设备 是 作为 HWTACACS 的 客户 端 ， 负 责 将 用 户 名 和 密码 发 给 
HWTACACS 服 务 器 进行 验证 。 

HWTACACS 协 议 与 RADIUS 协议 都 实现 了 认证 、 授 权 、 计 费 的 功能 ， 它 们 有 很 多 相似 点 : 结构 上 都 采 
月 C/S 模式 ， 都 使 用 公共 密 钥 对 传输 的 用 户 信息 进行 加 密 。 但 与 RADIUS 相 比 ，HWTACACS 具有 更 加 可 
的 传输 和 加 密 特性 ， 更 加 适合 于 安全 控制 。HWTACACS 协 议 与 RADIUS 协议 的 主要 区 别 如 表 17-1 所 示 。 
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表 17-1 HWTACACS 协 议 与 RADIUS 协议 的 比较 





HWTACACS 


RADIUS 





使 用 TCP， 网 络 传输 更 可 靠 


使 用 UDP 





除了 标准 的 HWTACACS 报 文 头 ， 对 报 文 主体 全 部 进行 加 密 


只 是 对 认证 报 文中 的 密码 字段 进行 加 密 





认证 与 授权 分 离 


认证 与 授权 一 起 处 理 





适 于 进行 安全 控制 


适 于 进行 计 费 





命令 进行 授权 使 用 不 支持 对 设备 上 的 配置 命令 进行 授权 


置 命 


支持 对 设备 上 的 配 













































































说 明 

HWTACACS 协 议 与 其 他 厂商 支持 的 TACACS+ 协 议 都 实现 了 认证 、 授 权 、 计 费 的 功能 。 而 且 ， 
HWTACACS 和 TACACS+ 的 认证 流程 与 实现 方式 是 一 臻 的，HWTACACS 协 议 能 够 完全 兼容 TACACS+ 协 
议 ， 
17.1.5 AAA 特 性 的 产品 支持 

华为 $ 系 列 交换 机 除了 支持 通过 RADIUS 协议 或 HWTACACS 协 议 进行 认证 、 授 权 、 计 费 外 ， 还 支持 本 
地 认证 和 授权 。 且 理论 上 ， 设 备 支持 本 地 、RADIUS、HWTACACS 三 种 协议 间 的 认证 、 授 权 、 计 费 的 随意 




















日 
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， 常 见 的 是 三 种 协议 的 单独 应 用 。 

















日 合 ， 比 如 本 地 认证 、 本 地 授权 和 RADIUS 计 费 。 但 是 在 实际 应 用 | 
1. 本 地 认证 、 授 权 
如 果 需 要 对 用 户 进行 认证 或 授权 ， 但 
么 可 以 采用 本 地 方式 进行 认证 和 授权 。 本 地 方式 进 
进行 处 理 ) ， 可 以 降低 运营 成 本 ， 缺 点 是 存储 信息 
方式 进行 认证 和 授权 ， 上 毕竟 管理 员 用 户 数 不 会 很 多 。 

2. RADIUS 认证 、 计 费 

因为 RADIUS 服务 器 不 是 位 于 设备 上 ， 而 是 位 远程 主机 上 ， 且 设备 与 RADIUS 服务 器 之 间 的 通信 和 是 加 密 
的 ， 所 以 采用 RADIUS 方式 进行 认证 、 计 费 可 以 防止 非法 用 户 对 网 络 的 攻击 ， 常 应 用 在 既 要 求 较 高 安全 性 又 
要 求 控制 远程 用 户 访问 权限 的 网 络 环境 中 。 但 RADIUS 服务 器 不 支持 单独 授权 功能 ， 必 须 与 认证 功能 一 
起 ， 只 要 使 能 它 的 认证 功能 ， 就 同时 使 能 了 它 的 授权 功能 。 
3. HWTACACS 认 证 、 授 权 、 计 费 
与 RADIUS 服 务 器 一 样 ， 采 用 HWTACACS 方 式 进行 认证 、 授 权 、 计 费 也 可 以 防止 非法 用 























是 在 网 络 中 没有 部 署 RADIUS 服务 器 和 HWTACACS 服务 器 ， 那 
行 认证 和 授权 的 优点 是 速度 快 ( 因 为 直接 在 本 地 设备 上 
受 设备 硬件 条 件 限 制 。 通 常 仅 对 管理 员 用 户 采 用 本 所 
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对 网 络 的 攻 





























击 ， 还 支持 为 用 户 进行 具体 的 命令 行 授权 。 且 与 RADIUS 相 比 ， 









































此 外 ， 设 备 还 支持 一 个 方案 中 使 用 多 和 




















HWTACACS 的 认证 、 授 权 和 计 费 是 单 





进行 的 ， 可 以 单独 配置 和 使 能 ， 在 一 些 大 的 网 络 中 ， 更 加 方便 部 署 多 台 用 途 不 同 的 HWTACACS 服 务 器 。 
协议 模式 ， 比 如 本 地 认证 还 常用 于 RADIUS 认证 和 HWTACACS 








认证 的 备份 认证 方案 ， 本 地 授权 作为 HWTACACS 授 权 的 备份 授权 方案 。 


配置 以 上 三 种 AAA 方案 的 流程 如 图 17-3 所 示 ， 它 们 的 总 体 配 置 流程 基本 一 样 ， 只 是 用 户 认证 信息 的 配 











配置 业务 方案 











配置 业务 方案 





配置 域 的 AAA 方案 配置 域 的 AAA 方案 


(a) 配置 本 地 认证 授权 











17.2 本 地 方式 认证 和 授权 配置 

















本 地 方式 就 是 把 S 系 列 交换 机 同时 配置 为 AAA 客户 端 和 AAA 认 刘 


(b) 配置 RADIUS 认证 计 费 (9c) 



































置 不 一 样 而 已 。 下 面 介绍 的 各 AAA 方案 的 具体 配置 步骤 也 是 按照 这 个 流程 进行 的 。 


配置 AAA 方案 配置 AAA 方案 
配置 RADIUS 
配置 本 地 用 户 服务 器 模板 





配置 AAA 方案 
配置 HWTACACS 
服务 器 模板 
配置 业务 方案 


所 必 侈 步 双 
[可 选 步 又 
配置 HWTACACS 认 证 授权 计 费 





图 17-3 三 种 AAA 方案 的 配置 流程 



































独 





FE、 授权 服务 器 〈 不 能 另外 配置 计 费 功 


能 ， 总 是 采用 不 计 费 方案 ) ， 认 证 和 授权 信息 是 在 本 地 设备 上 配置 的 ， 无 需 另外 配置 专门 的 认证 服务 器 。 
配置 采用 本 地 方式 进行 认证 和 授权 后 ， 设 备 根据 本 地 的 用 户 信息 对 接 入 用 户 进行 认证 和 授权 。 本 地 方式 进 
行 认证 和 授权 的 优点 是 速度 快 ， 可 以 降低 运营 成 本 ， 缺 点 是 存储 信息 量 受 设 备 便 件 条 件 限 制 。 






































根据 图 17-3 (a) 可 以 得 出 本 地 认 训 
~ 配置 域 的 AAA 方案 。 其 中 第 三 步 的 "配置 业务 方案 ?是 可 选 的 ，; 



























































业务 调用 本 地 认证 、 授 权 方 案 时 才 需 要 配置 ， 其 余 三 项 是 必 选 的 ， 














序 ， 都 是 为 最 后 一 项 配置 任务 “配置 域 的 AAA 方案 ”而 服务 的 。 下 四 
































又 。 


17.2.1 配置 AAA 方案 





配置 AAA 方案 就 是 配置 AAA 中 




















E、 授 权 配置 流程 为 配置 AAA 方案 配置 本 


巴 闪 ， 





































































































的 认证 、 授 权 和 计 费 方案 ， 

















于 后 面 将 要 介绍 的 “ 域 的 AAA 方案 ”中 幼 


























也 用 户 ~ 配置 业务 方案 
通常 是 采用 缺 省 配置 ， 仅 当 需 要 特定 的 
但 前 面 两 项 配置 任务 没有 严格 的 先后 次 
分 别 介绍 这 4 项 配置 任务 的 具体 配置 步 


IP 


十 


这 些 方案 使 用 〈 所 配置 的 各 种 方案 只 有 在 域 中 绑 定 后 才能 得 到 应 用 ) 。 在 本 地 方式 中 仅 支 持 认证 和 授权 方 


案 ， 所 以 仅 需 要 在 认证 方案 中 配置 认证 模式 为 本 地 认证 ， 在 授权 方案 中 配置 授权 模式 为 本 地 授权 ， 其 他 配 
置 均 为 可 选 的， 具体 配置 步骤 如 表 17-2 所 示 。 
























































表 17-2 本 地 认证 、 授 权 中 的 AAA 方案 配置 步骤 

















system-view 
例如 : <HUAWEI> 
System-view 


aaa 
例如 : [HUAWEI] aaa 


进入 系统 视图 


进入 AAA 视图 





authentication-scheme 
authentication-scheme- 
name 

例如 : [HUAWEI-aaa] 

authentication-scheme 
scheme0 


配置 AAA 认证 方案 

创建 一 个 认证 方案 ， 并 进入 认证 方案 视图 或 直接 进入 一 个 已 存在 
的 认证 方案 视图 。 参 数 scheme-name 用 来 指定 认证 方案 名 , 为 1 一 
32 个 字符 ， 不 支持 空格 ， 不 区 分 大 小 写 ， 且 不 能 包含 以 下 字符 : 
OR EC CT 
不 同系 列 交 换 机 所 支持 的 认证 方案 数 不 一 样 ，S2700 系列 最 多 只 
支持 16 个 ， 而 S3700/5700/6700/7700//9700 系列 最 多 支持 32 个 ， 
S9300/9300E 最 多 支持 128 个 

缺 省 情况 下 ， 设 备 中 有 一 个 名 为 “default” 的 认证 方案 ， 不 能 删 
除 ， 只 能 修改 ， 可 用 undo authentication-scheme authentication- 
scheme-name 命令 删除 指定 的 认证 方案 

【说 明 】"default” 认 证 方案 的 策略 为 (1) 认证 神 式 采用 本 地 认证 ; 
(2) 用 户 提升 级 别 模 式 采 用 本 地 认证 ; (3) 认证 失败 则 强制 用 户 下 线 








authentication-mode local 
例如 : [HUAWEI-aaa- 
authen-scheme0] 
authentication-mode local 


authentication-super 
{ hwtacacs | radius | 
super } [none] 
例如 : [HUAWEI-aaa- 
authen-scheme0] 
authentication-super 
radius 





(可 选 ) 配置 认证 模式 为 本 地 认证 

因为 $ 系列 交换 机 在 缺 省 情况 下 ， 认 证 模式 就 为 本 地 认证 ， 所 以 
缺 省 情况 下 可 不 用 配置 本 命令 ， 如 果 已 配置 为 其 他 认证 模式 ， 则 
也 可 用 undo authentication-mode 命令 恢复 当前 认证 方案 使 用 的 
认证 模式 为 缺 省 的 本 地 认证 模式 

(可 选 ) 配置 当前 认证 模板 对 用 户 提 升级 别 进行 认证 时 采用 的 认 
证 模式 。 命 令 中 的 选项 说 明 如 下 。 

(1) hwtacacs: 可 多 选项 ， 指 定 采用 HWTACACS 模式 对 用 户 级 
别提 升 进行 认证 

(2) radius: 可 多 选项 ， 指 定 采用 RADIUS 模式 对 用 户 级 别提 升 
进行 认证 

(3) super: 可 多 选项 ,指定 采用 本 地 认证 的 模式 对 用 户 级 别提 升 
进行 认证 

(4) none: 可 选项 ， 指 定 无 需 进 行 认证 ， 即 直接 让 用 户 更 改 用 户 级 别 
【说 明 〗 可 以 同时 配置 多 种 认证 模式 。 此 时 认证 模式 的 执行 顺序 为 配 
置 的 先后 顺序 。 只 有 在 当前 认证 模式 没有 响应 (不 是 认证 失败 ) 的 情 
况 下 ， 设 备 才 会 采用 下 一 种 认证 模式 ; 如 果 用 户 没 有 通过 当前 认证 模 
式 的 认证 ， 则 设备 不 会 再 跳 转 到 下 一 个 认证 模式 对 用 户 进行 认证 

缺 省 情况 下 ， 用 户 级 别提 升 时 认证 模式 为 本 地 模式 ， 可 用 undo 
authentication-super 命令 恢复 用 户 级 别提 升 时 采用 的 认证 模式 
为 缺 省 情况 








ET 如 : [HUAWEI-aaa- 
authen-scheme0] quit 


domainname-parse- 
direction | left-to-right | 
right-to-left } 

例如 : [HUAWEI-aaa] 
domainname-parse- 
direction left-to-right 


退出 认证 方案 视图 ， 返 回 AAA 视图 


(可 选 ) 配置 用 户 名 和 域名 解析 的 方向 。 命 令 中 的 选项 说 明 
如 下 ， 
(1) left-to-right: 二 选 一 选项 ， 指 定 域名 解析 方向 为 从 左 向 右 
(2) right-to-left 二 选 一 选项 ， 指 定 域名 解析 方向 为 从 右 向 左 
【说 明 】〗】 这 是 为 了 便于 系统 识别 域 用 户 名 格式 ， 但 必须 与 在 AAA 
视图 下 使 用 domain-location | after-delimiter | before-delimiter } 
命令 配置 的 域 用 户 名 格式 一 致 , 其 中 选择 after-delimiter 选项 时 ， 
表示 指定 域名 在 分 陋 符 后 ; 选择 before-delimiter 选项 时 ， 表示 指 
定 域名 在 分 隔 符 前 
域 用 户 名 通常 采用 * 纯 用 户 名 @ 域 名 "格式 ， 即 @ 符 号 后 面 的 部 分 为 域 
名 。 如 果 配 置 的 是 domain-location after-delimiter 命令 ， 指 定 域名 在 
分 隔 符 后 。 现 假设 域 用 户 名 为 usemame(@Ddoml] (@dom2， 如 果 采 用 从 
左 向 右 解析 ， 则 用 户 名 为 usemame， 域 名 为 doml (@dom2， 相 反 ， 如 
采 采 用 从 右 向 左 解 析 ， 则 用 户 名 为 usemame(@dom] ， 域 名 为 dom2 
如 果 配 置 的 是 domain-location before-delimiter 命令 , 指定 域名 在 分 
陋 符 前 ， 如 果 采 用 从 左 向 右 解 新 时 ， 则 用 户 名 为 doml@dom2， 域 
名 为 usemame; 如 果 采 用 从 右 向 左 解析 , 则 用 户 名 为 dom2， 域名 为 
username(@dom!1 
缺 省 情况 下 , 域名 解析 方向 为 从 堪 向 右 , 可 用 undo domainname- 
parse-direction 命令 恢复 域名 解析 方向 为 缺 省 设置 

配置 AAA 授权 方案 





authorization-scheme 
authorization-scheme-name 
例如 : [HUAWEI-aaa] 
authorization-scheme 
scheme0 


authorization-mode 
local [ none ] 

例如 : [HUAWEI-aaa- 
author-scheme0] 
authorization-mode local 


创建 一 个 授权 方案 ， 并 进入 授权 方案 视图 或 直接 进入 一 个 已 存在 

的 授权 方案 视图 。 其 他 说 明 与 前 面 第 3 步 介绍 的 认证 方案 是 完全 
- 样 的 〈 不 同 的 只 是 这 里 是 授权 方案 )， 参 见 即 可 

缺 省 情况 下 ， 设 备 中 有 一 个 名 为 “default” 的 授权 方案 ， 不 能 删 

除 ， 只 能 修改 ， 可 用 undo authorization-scheme authorization- 

scheme-name 命令 删除 指定 的 授权 方案 


配置 本 地 授权 模式 。 如 果 同 时 选择 了 none 可 选项 ， 则 表示 无 需 
授权 





quit 
例如 : [HUAWEI-aaa- 
author-scheme0] quit 


authorization-modify 
mode { modif | overlay } 
例如 ; [HUAWEI-aaa] 
authorization-modify 
mode modify 


17.2.2 配置 本 地 用 户 





当 采 用 本 地 方式 进行 认证 和 授权 时 ， 





退出 授权 方案 视图 ， 返 回 AAA 视图 


(可 选 ) 配置 授权 服务 器 下 发 的 用 户 授权 信息 的 生效 模式 。 授 权 
服务 器 可 向 设备 单独 ， 或 同时 下 发 ACL 规则 、 动 态 VLAN 等 用 
户 授权 信息 。 命 令 中 的 选项 说 明 如 下 。 

(1) modify: 二 选 一 选项 ， 指 定 授权 服务 器 下 发 的 用 户 授权 信息 
的 生效 模式 为 修改 模式 ， 新 下 发 的 授权 信息 仅 按 对 应 下 发 的 属性 
类 别 蓝 盖 上 一 次 下 发 的 授权 信息 

(2) overlay: 二 选 一 选项 ， 指 定 授权 服务 器 下 发 的 用 户 授权 信息 
的 生效 模式 为 覆盖 模式 ， 新 下 发 的 授权 信息 获 盖 上 一 次 下 发 的 所 
有 属性 类 别 的 授权 信息 

缺 省 情况 下 ， 设 备 上 用 户 授 权 信息 的 生效 模式 为 履 盖 模式 ， 即 新 
下 发 的 用 户 授权 信息 将 会 覆盖 前 次 下 发 的 所 有 的 用 户 授权 信息 ， 
可 用 undo authorization-modify mode 命令 恢复 授权 服务 器 下 发 
的 用 户 授权 信息 的 生效 模式 为 覆盖 模式 





需要 在 本 地 设备 上 配置 用 户 的 认证 和 授权 信息 ， 如 用 于 认证 的 月 











上 


户 名 和 密码 ， 用 于 授权 的 用 户 优先 级 、 用 户 组 、 人 允许 接 入 的 服务 类 型 、 可 建立 的 连接 数 和 FTP 访 问 目录 等 。 


但 这 些 均 需要 在 AAA 视图 下 进行 配置 ， 具 体 的 配置 步 又 如 表 17-3 所 示 《 除 创建 本 地 用 户 命令 外 ， 其 他 配置 


均 为 可 选 的 ， 均 有 对 应 的 缺 省 配置 ) 。 





表 17-3 本 地 认证 、 授 权 中 的 本 地 用 户 配置 步 又 





System-view 
例如 : <HUAWEI> 
System-view 


例如 : [HUAWEI] aaa 


local-user user-name 
例如 : [HUAWEI-aaa] 


userl(@mydomain 
password cipher admin 


local-user user-name 
privilege level /eve/ 
例如 : [HUAWEI-aaa] 


userl(@mydomain 
privilege level 10 


local-user user-name 
user-group user-group- 


例如 ; [HUAWEI-aaal 


user-group testl 





进入 系统 视图 


进入 AAA 视图 


创建 本 地 用 户 账号 ， 并 配置 本 地 用 户 账号 的 登录 密码 。 命 令 中 的 
参数 说 明 如 下 : 

(1) user-name: 指定 本 地 用 户 的 用 户 名 ， 为 1~~64 个 字符 ， 不支 
持 空格 ， 不 区 分 大 小 写 。 如 果 用 户 名 中 带 域名 分 隔 符 (如 “@”、 
“|]"、“%” 等 符号 )， 则 缺 省 情况 下 认为 分 隔 符 前 面 的 部 分 是 用 户 
名 , 后 面部 分 是 域名 。 如 果 没 有 分 阳 符 ， 则 整个 字符 串 为 用 户 名 ， 
和 缺 省 采用 default 域 认证 

(2) cipher password: 指定 本 地 用 户 登 录 密 码 ， 以 密 文 显示 。 可 
以 是 1 一 16 个 字符 的 明文 密码 ， 不 支持 空格 、 单 引号 和 问号 ， 区 
分 大 小 写 ; 也 可 是 32 位 密 文 密码 

缺 省 情况 下 ， 没 有 创建 本 地 用 户 ， 可 用 undo local-user user-name 
删除 指定 的 本 地 用 户 账户 

(可 选 ) 配置 本 地 用 户 的 级 别 。 命 令 中 的 参数 说 明 如 下 。 

(1) user-name: 指定 要 配置 用 户 级 别 的 本 地 用 户 名 

(2) level: 为 由 user-name 参数 指定 的 本 地 用 户 配 置 用 户 级 别 ， 
取 值 范围 为 0 一 15 的 整数 ， 且 值 越 大 ， 级 别 越 高 。 不 同 级 别 的 用 
户 登录 后 ， 只 能 使 用 等 于 或 低 于 自己 级 别 的 命令 

缺 省 情况 下 ， 本 地 用 户 (如 Telnet 用 户 、SSH 用 户 ) 的 优先 级 由 
管理 模块 (也 就 是 按照 系统 缺 省 的 4 个 命令 级 别 来 分 类 ， 具 体 参 
见 本 书 第 2 章 2.1.4) 来 决定 ， 可 用 undo local-user user-name 
privilege level 命令 将 指定 的 本 地 用 户 的 优先 级 恢复 为 缺 省 配置 
(可 选 ) 配置 本 地 用 户 加 入 指定 用 户 组 ， 但 S2700/3700 系列 不 支 
持 , 在 S5700 系列 中 仅 S5700H1 和 SS710EI 子 系列 支持 。 命令 中 
的 参数 说 明 如 下 。 

(1) user-name: 指定 要 加 入 用 户 组 的 本 地 用 户 

(2) user-group-name: 指定 由 user-name 参数 指定 的 用 户 要 加 入 
的 用 户 组 ， 为 1 一 64 个 字符 ， 区 分 大 小 写 ， 不 支持 空格 ， 可 以 设 
定 为 包含 数字 、 字 母 和 “*”"、“#” 等 特殊 字符 的 组 合 

【说 明 】〗】 系 统 对 用 户 权限 的 管理 是 通过 用 户 组 实现 的 ， 用 户 加 入 
相应 的 用 户 组 就 能 获得 相应 的 用 户 权 限 。 用 户 组 是 在 系统 视图 下 
使 用 user-group group-name 命令 创建 的 ， 在 用 户 组 下 面 可 以 配置 
许多 授权 信息 ， 具 体 参 见 本 书 第 18 章 中 的 18.2.18 节 介 绍 。 一 个 
用 户 组 可 被 多 个 本 地 用 户 引 用 ,但 一 个 本 地 用 户 只 能 属于 一 个 用 户 
组 。 款 省 用 户 组 、 被 本 地 用 户 或 在 线 用 户 引 用 的 用 户 组 不 能 删除 
如 果 本 地 用 户 与 对 应 域 下 面 同时 都 配置 了 用 户 组 , 且 所 配置 的 用 户 组 不 
同 (相当 于 下 发 的 授权 信息 不 同 ) ， 则 只 有 本 地 用 户 配置 的 用 户 组 生效 
缺 省 情况 下 ， 本 地 用 户 不 属于 任何 用 户 组 ， 可 用 undo local-user 
user-name user-group 命令 取消 指定 本 地 用 户 加 入 用 户 组 





local-user user-name 
idle-timeout minutes 

[ seconds ] 

例如 : [HUAWEI-aaa] 
local-user 
userl@Qmydomain 
idle-timeout | 30 


local-user tser-name 
service-type { 8021x | 
bind | ftp | http | ppp | 
ssh | telnet | terminal | 
web | x25-pad }” 
例如 : [HUAWEI-aaa] 
local-user 
userl@mydomain 
Service-type 8021x 


local-user user-name 
ftp-directory directory 
例如 : [HUAWEI-aaa] 
local-user 

userl (Wmydomain 
ftp-directory flash:/ftp 


local-user user-name 
state | active | block } 
例如 : [HUAWEI-aaa] 
local-user 

userl (mydomain state 
block 


local-user user-name 
access-limit max-number 
例如 : [HUAWEI-aaa] 
local-user 
userl@mydomain 
access-limit 30 


(可 选 ) 配置 指定 用 户 的 闲置 切断 时 间 《〈 也 就 是 配置 用 置 多 长 时 
间 后 把 对 应 用 户 下 线 )。 命 令 中 的 参数 说 明 如 下 。 

(1) user-name: 指定 要 配置 闲置 切断 时 间 的 本 地 用 户 

(2) minutes[ seconds ]: 指定 由 user-name 人 参数 指定 的 用 户 的 闲置 
切断 时 间 的 分 钟 和 秒 数 , 取 值 范围 分 别 为 0 一 35 791 的 整数 和 0 一 
59 的 整数 。 当 这 两 个 值 均 为 0 时 表示 关闭 超时 断 连 功能 

扎 省 情况 下 ， 超 时 时 间 为 Smin， 可 用 unde local-user user-name 
idle-timeout 命令 恢复 指定 本 地 用 户 的 斯 连 超时 时 间 为 缺 省 值 
《可 选 ) 配置 允许 本 地 用 户 的 接 入 类 型 - 命令 中 的 参数 和 选项 说 明 如 下 。 
(01) wser-name; 指定 要 配 省 接 入 类 型 的 本 地 用 户 

(2) 8021x: 可 多 选项 ， 指 定 用 户 类 型 为 802.1x 用 户 

(3) bind: 可 多 选项 ， 指 定 用 户 类 型 为 卫 会 话 用 户 

(4) ftp: 订 多 选项 ， 指 定 用 户 类 型 为 FTP 用 户 

(5) http: 可 多 选项 ， 指 定 用 户 类 型 为 HTTP 用 户 

(6) ppp: 可 多 选项 ， 指 定 用 户 类 型 为 PPP 用 户 

(7) ssh: 可 多 选项 ， 指 定 用 户 类 型 为 SSH 用 户 

(8) telnet: 可 多 选项 ， 指 定 用 户 类 型 为 Telnet 用 户 

(9) terminal: 可 多 选项 , 指定 用 户 类 型 为 Console 口 用 户 、TTY 
用 户 

(10) web: 可 多 选项 ， 指 定 用 户 类 型 为 Web 认证 用 户 

(11) x25-pad: 可 多 选项 ， 指 定 用 户 类 型 为 X25-PAD 用 户 
缺 省 情况 下 ， 本 地 用 户 可 以 使 用 所 有 的 接 入 类 型 ， 可 用 undo 
local-user user-name service-type 命令 将 指定 的 本 地 用 户 的 接 入 
类 型 恢复 为 缺 省 配置 

(可 选 ) 配置 允许 FTP 用 户 访问 的 FTP 目录 。 当 设 备 作为 FTP 服 
务 器 时 ， 必 须 配 置 允许 FTP 用 户 访问 的 FTP 目录 ,否则 FTP 用 
户 无 法 访问 设备 。 命令 中 的 参数 说 明 如 下 。 

(1) user-name: 指定 要 配置 访问 目录 的 本 地 FTP 用 户 

(2) directory: 指定 由 user-name 参数 指定 的 FTP 用 户 可 访问 的 
目录 ， 为 1 一 4 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 人 允许 FTP 用 户 访问 的 FTP 目录 为 室 ， 可 用 undo 
local-user user-name ftp-directory 命令 删除 指定 本 地 用 户 配置 的 
FTP 访问 目录 

(可 选 ) 配置 本 地 用 户 的 状态 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
(1) user-name: 指定 要 配置 状态 的 本 地 用 户 

(2) active; 一 选 一 选项 ， 指 定 由 user-name 参数 指定 的 本 地 用 户 
为 激活 状态 ， 接 收 该 用 户 的 认证 请 求 并 做 进一步 处 理 

(3) block; 二 选 一 选项 ， 指 定 由 user-name 参数 指定 的 本 地 用 户 
为 阻塞 状态 ， 拒 绝 该 用 户 的 认证 请 求 

缺 省 情况 下 ， 本 地 用 户 的 状态 为 激活 态 

(可 选 ) 配置 指定 用 户 可 建立 的 最 大 连接 数 日 。 命 令 中 的 参数 说 
明 如 下 。 

(1) user-name: 指定 要 配置 可 建立 的 最 大 连接 数目 的 本 地 用 户 
(2) max-number: 指定 由 user-name 参数 指定 的 本 地 用 户 可 建立 
的 最 大 连接 数目 ， 取 值 范 围 不 同系 列 有 所 不 同 ， 具 体 参见 相应 产 
品 手册 说 明 

缺 省 情况 下 ， 不 限制 用 户 可 建立 的 连接 数目 ， 可 用 undo 
local-user user-name access-limit 命令 恢复 为 缺 省 情况 





【示例 】 在 本 地 认证 
<HUAWEI> local-user change-password 


local-aaa-user Wrong- 
password retry-interval 
retry-interval retry-time 
retry-time block-time 
block-time 

例如 : [HUAWEI-aaa] 
local-aaa-user 
wrong-password retry- 
interval 10 retry-time 3 
block-time 30 


(可 选 ) 使 能 本 地 账号 锁定 功能 ， 并 配置 用 户 的 重 试 时 间 间 隔 、 连 
续 认 证 失败 的 限制 次 数 及 账号 锁定 时 间 。 命 令 中 的 参数 说 明 如 下 。 
(1) retry-interval: 指定 本 地 用 户 每 次 重 试 的 时 间 间 隔 ， 取 值 范围 
为 5 一 65 535 的 整数 分 钟 ， 超 过 这 个 时 间 该 账户 被 锁定 

(2) retry-time: 指定 本 地 用 户 连续 认证 失败 的 最 大 次 数 ， 取 值 范围 


为 3 一 65 535 的 整数 , 超过 这 个 次 数 即 该 账户 被 锁定 。 但 这 里 的 “ 认 
证 失败 次 数 ” 仅 针对 密码 错误 ， 其 他 本 地 认证 错误 不 计 入 计数 
(3) block-time: 指定 本 地 用 户 被 锁定 的 时 间 ， 
65 535 的 整数 分 钟 
缺 省 情况 下 , 未 使 能 本 地 账号 锁定 功能 , 可 用 undo local-aaa-user 
wrong-password 命令 去 使 能 本 地 账号 锁定 功能 


取 值 范围 为 5 一 








return 
例如 : 


return 


[HUAWELaaal 


退出 AAA 视图 ， 直 接 返 回 用 户 视图 

















local-user 
change-password 
例如 : <HUAWEI> 
local-user 
change-password 





中 ， 通 


Please enter old password: 


Please enter new password: 


Please confirm new password: 





(可 选 ) 修改 本 地 用 户 的 登录 密码 。 
密码 安全 ， 管 理 用 户 认证 通过 后 ， 
来 修改 自己 的 登录 密码 。 

本 地 认证 通过 的 用 户 才 可 以 执行 该 命令 修改 自己 的 密码 。 本 地 用 
户 下 次 登录 需要 输入 新 密码 才 可 以 认证 
通过 。 该 命令 本 身 是 修改 本 地 用 户 密码 ， 不 直接 保存 配置 ， 但 会 
以 local-user password 的 命令 形式 保存 修改 结果 。 若 系统 等 待 
超过 30s 后 ， 用 户 还 未 输入 用 户 名 或 新 密码 、 确 认 密 码 时 ， 密 
码 修改 将 中 断 。 用 户 输入 Ctrl+C 取消 本 次 密码 修改 时 ， 密 码 修 
改 将 中 断 。 


为 了 保证 低级 别管 理 用 户 的 
可 以 在 用 户 视图 下 通过 此 命令 


过 local-user change-password 命 令 用 户 修改 自己 的 密码 。 


Info: The password is changed successfully. 


17.2.3 〈 可 选 ) 配置 业务 方案 








“业务 方案 ?其实 也 是 一 种 授权 方案 ， 
务 和 策略 路 由 等 ) 所 进行 的 授权 ， 所 也 可 称 为 "业务 授权 方案 ”。 
只 需要 使 用 admin-user privilege level 命 令 配置 管理 员 用 户 的 月 
在 业务 方案 被 其 他 特性 〈 比 如 IPSec 特性 ) 调用 时 才 需 要 配置 。 有 具体 的 配置 步 又 妈 





言 电 ， 但 在 业务 方案 下 通常 



































它 是 专门 针对 一 些 IP 业 务 (如 管理 员 权限 、DHCP 服务 、DNS 服 
可 通过 配置 业务 方案 管理 用 户 的 业务 授权 





























有 户 级 别 ， 其 余 命令 














表 17-4 本 地 认证 、 授 权 中 的 业务 方案 配置 步 又 


命令 





iD 


System-view 

例如 : <HUAWEI> 
System-view 

aaa 


例如 : [HUAWEI] aaa 


进入 系统 视图 





进入 AAA 视图 





0 表 17-4 所 示 。 


( 续 表 ) 


service-scheme service- 
scheme-name 

例如 ;， [HUAWEI-aaa] 
service-scheme sveschemel 


创建 一 个 业务 方案 ， 并 进入 业务 方案 视图 或 直接 进入 一 个 已 存在 
的 业务 方案 视图 :其 他 说 明 与 17.2.1 节 表 17-2 中 第 3 步 介绍 的 认 
证 方案 是 完全 一 样 的 〈 不 同 的 只 是 这 里 是 授权 方案 )， 参 见 即 可 
缺 省 情况 下 ,设备 中 没有 配置 业务 方案 ,可 用 undo service-scheme 
service-scheme-name 命令 删除 指定 的 业务 方案 





admin-user privilege level 
level 

例如 : [HUAWEI-aaa- 
service-sveschemel] 
admin-user privilege 
levell0 


配置 本 地 用 户 可 以 作为 管理 员 登 录 设 备 ， 并 设置 这 些 本 地 用 户 在 
设备 中 的 管理 员 级 别 ， 取 值 范围 是 0 一 15 的 整数 

【说 明 】〗】 如 果 用 户 的 认证 方式 为 本 地 认证 ， 管 理 员 用 户 级 别 可 以 
采用 以 下 三 种 方式 配置 ， 优 先 级 由 上 到 下 依次 降低 。 

(1) 使 用 local-user privilege level 命令 配置 的 本 地 用 户 级 别 

(2) 使 用 admin-user privilege level 命令 在 域 下 配置 的 管理 员 用 
户 级 别 

(3) 使 用 user privilege 命令 在 VTY 模式 下 配置 的 用 户 级 别 

如 果 用 户 的 认证 方式 为 远 端 认证 ， 管 理 员 用 户 级 别 可 以 采用 以 下 
三 种 方式 配置 ， 优 先 级 由 上 到 下 依次 降低 。 

(1) 认证 通过 后 ， 服 务 器 下 发 到 设备 中 的 用 户 级 别 

(2) 使 用 admin-user privilege level 命令 在 域 下 配置 的 管理 负 用 
户 级 别 

(3) 使 用 user privilege 命令 在 VTY 模式 下 配置 的 用 户 级 别 

如 果 对 用 户 同时 配置 了 远 端 认证 和 本 地 认证 ， 且 配置 顺序 是 先 远 
端 认 证 再 本 地 认证 ,管理 员 用 户 级 别 可 以 采用 以 下 4 种 方式 配置 ， 
优先 级 由 上 到 下 依次 降低 。 

(1) 认证 通过 后 ， 服 务 器 下 发 到 设备 中 的 用 户 级 别 。 

(2) 使 用 local-user privilege level 命令 配置 的 本 地 用 户 级 别 。 本 
地 用 户 级 别 只 在 远 端 认证 服务 器 没有 了 响应 时 启用 。 如 有 果 配 置 了 本 
地 用 户 级 别 ， 远 端 服务 器 认证 响应 通过 后 但 是 没有 下 发 用 户 级 
别 ， 此 时 本 地 用 户 的 级 别 不 会 生效 

(3) 使 用 admin-user privilege level 命令 在 焉 下 配置 的 用 户 级 别 
(4) 使 用 user privilege 命令 在 VTY 模式 下 配置 的 用 户 级 别 
缺 省 情况 下 , 用 户 的 用 户 级 别 为 16, 表示 是 一 个 无 效 值 ,用户 
不 能 作为 管理 员 登 录 设 备 ， 可 用 undo admin-user privilege 
level 命令 指定 当前 用 户 不 能 作为 管理 员 登 录 设备 , 并 恢复 用 户 
级 别 为 缺 省 级 别 





dhep-server group 
group-name 

例如 ; [HUAWEI-aaa- 
service-svcscheme1] 
dhep-server group 
groupl 





(可 选 ) 设 置业 务 方案 下 使 用 的 DHCP 服务 嚣 组, 参数 group-name 
用 米 指定 DHCP 服务 器 组 名 ， 为 1 一 32 个 字符 ， 区 分 大 小 写 , 不 
支持 空格 ， 必 须 是 已 由 dhep-server group group-name 系统 视图 
命令 配置 好 相应 的 DHCP 服务 器 组 。 仅 S7700/9300/9300E/9700 
系列 支持 

【说 明 】〗 通 常情 况 下 ， 一 台 DHCP 中 继 会 同时 代理 多 台 DHCP 服 
务 器 ， 并 向 用 户 提 供 IP 地 址 分 配 服 务 。 此 时 可 使 用 dhep server 
group 命令 定义 DHCP 服务 器 组 来 统一 管理 该 DHCP 中 继 代理 的 
DHCP 服务 器 ,从 而 在 指定 的 DHCP 服务 器 组 中 为 通过 DHCP 中 
继 接 入 的 用 户 分 配 卫 地址 

缺 省 情况 下 ， 业 务 方 案 下 没有 配置 DHCP 服务 器 组 ， 可 用 undo 
dhep-server group 命令 取消 业务 方案 使 用 的 DHCP 服务 器 组 





ip-pool pool-name 

[ move-to new-position ] 
例如 : [HUAWEI-aaa- 
service-Svcscheme1l] 
ip-pool ippooll move-to 
ippool2 


(可 选 ) 配置 业务 方案 下 可 用 的 DHCP IP 地 址 池 或 者 移动 已 配置 
的 地 址 池 的 位 置 ， 仅 S7700/9300/9300E/9700 系列 支持 。 命 令 中 
的 参数 说 明 如 下 。 

(1) pool-name: 指定 IP 地 址 池 名 ， 为 1 一 64 个 字符 

字符 组 成 : 字母 (包括 大 写字 母 *A” 一 “Z” 和 小 写字 卜 

“z”) 数字 (“0” 一 “9”)、 点 号 (“.”)、 短 线 (“-”) 和 下 划 线 
(“_”)。 该 IP 地址 池 必 须 在 上 一 步 配 置 的 DHCP 服务 器 组 中 的 
DHCP 服务 器 中 已 创建 

(2) move-to new-position: 可 选 参数 ， 指 定 移动 业务 方案 下 已 配 
置 的 卫 地 址 池 的 位 置信 息 ， 取 值 范围 与 域 下 已 配置 的 IP 地 址 池 
数 相关 ， 为 一 个 可 用 的 IP 地 址 池 名 称 

缺 省 情况 下 ， 业 务 方案 下 没有 配置 IP 地 址 池 ， 可 用 undo ip- 
pool [ pool-name ] 命 令 删除 所 有 或 者 指定 业务 方案 下 的 耳 地 
址 池 





dns ip-address [ secondary ] 
例如 : [HUAWEI-aaa- 
SerIvice-Svcscheme1] dns 
10.10.10.1 


(可 选 ) 配置 主 用 或 者 备用 〈 选 择 secondary 可 选项 时 ) DNS 服 
务 器 地 址 。 

缺 省 情况 下 ， 业 务 方案 下 没有 配置 主 用 和 备用 的 DNS 主 用 服务 
器 ， 可 用 命令 undo dns [ ip-address ] 删 除 指定 的 DNS 服务 器 





policy-route next-hop-ip- 
address [ vlan-id | 

例如 : [HUAWEI-aaa- 
Service-Svcschemel] 
policy-route 20.1.1.1 


17.2.4 配置 域 的 AAA 方案 











(可 选 ) 配置 业务 方案 下 用 户 的 策略 路 由 功能 ， 仅 S7700/9300/ 
9300E/9700 系列 支持 。 命 令 中 的 参数 说 明 如 下 。 

e next-hop-ip-address: 指定 策略 路 由 的 下 一 跳 IP 地 址 

evian-id: 可 选 参数 ， 指 定 源 路 由 的 VLAN ID 

缺 省 情况 下 ， 业 务 方案 下 没有 配置 策略 路 由 功能 ， 可 用 undo 
policy-route 命令 取消 业务 方案 下 用 户 的 策略 路 由 功能 








在 17.2.1 节 创建 的 认证 和 授权 方案 ， 在 17.2.3 节 配置 的 业务 方案 也 只 有 在 本 节 介 绍 的 “ 域 的 AAA 方案 ”中 





绑 定 后 才能 得 到 应 用 (在 本 地 认证 、 授 权 方 案 中 无 需 配 置 像 后 下 
器 模板 ) 。 不 同 的 域 可 以 绑 定 不 同 的 以 上 认证 、 授 权 、 业 务 方案 ， 以 便 实 现 灵活 的 | 














AAA 方案 的 具体 配置 步骤 如 表 17-5 所 示 。 














[将 要 介绍 的 RADIUS、HWTACACS 服务 
户 接 入 控制 。 域 的 





























表 17-5 本 地 认证 、 授 权 中 域 的 AAA 方案 配置 步 又 


system-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





aaa 
例如 : [HUAWEI aaa 


domain domain-name 
例如 : [HUAWEI-aaa] 
domain mydomain 








进入 AAA 视图 
创建 域 并 进入 域 视图 或 进入 一 个 已 存在 的 域 视图 。 





参数 
domain-name 用 来 指定 域名 ， 为 1 一 64 个 字符 ， 不 支持 空格 ， 区 
分 大 小 写 ， 且 不 能 包含 以 下 字符 :“-”、“*”、“3”、“"” 

缺 省 情况 下 ， 设 备 存在 两 个 域 ， default 和 default_admin。default 
用 于 普通 接 入 用 户 的 域 ，default_admin 用 于 管理 员 的 域 。 可 用 
undo domain domain-name 命令 删除 指定 域 


( 续 表 ) 






































步骤 命令 说 明 
authentication-scheme 
authentication-scheme- 
on 在 以 上 域 中 绑 定 要 使 用 的 认证 方案 。 这 些 认证 方案 就 是 在 17.2.1 
4 | 例如 [HUAWELaaa。 | 节 表 17-2 中 创建 并 配置 的 ， 选 择 所 和 需 的 方案 即 可 
omain-mydomain ] 
authentication-scheme 
schemel 
authorization-scheme 
authorization-scheme- 
在 以 上 域 中 绑 定 要 使 用 的 授权 方案 。 这 些 授权 方案 就 是 在 17.2.1 
5 | 全 和 [HUAWEMaaa | 节 表 17.2 中 创建 并 配置 的 选择 所 需 的 方案 即 可 
omain-mydomain ] 
authorization-scheme 
authorl | 
(可 选 ) 配置 以 上 域 中 要 下 发 授权 的 用 户 组 ， 即 仅 对 应 用 户 组 中 
的 本 地 用 户 才 可 使 用 该 域 中 的 认证 、 授 权 、 计 费 (本 地 方式 中 不 
支持 计 费 功能 ， 其 他 方式 支持 ) 和 业务 方案 。 参 数 group-name 
user-group group-name | 为 要 在 域 中 要 下 发 授权 的 用 户 组 , 为 1 一 64 个 字符 , 区 分 大 小 写 ， 
6 “| 例如 : [HUAWEI-aaa- | 不 支持 空格 ， 可 以 设 定 为 包含 数字 、 字 母 和 “*”、“#” 等 特殊 字 
domain-mydomain ] 符 的 组 合 。 本 地 用 户 是 通过 17.2.2 节 表 17-3 中 的 第 5 步 加 入 到 对 
user-group ftp 应 的 用 户 组 的 
缺 省 情况 下 ， 未 配置 对 域 下 的 用 户 下 发 用 户 组 授权 ， 所 有 本 地 用 
户 均 可 作为 本 域 中 的 用 户 ， 可 用 undo user-group 命令 取消 对 域 
下 的 用 户 下 发 用 户 组 授权 
service-scheme service- 
scheme-name (可 选 ) 在 以 上 域 中 绑 定 要 使 用 的 业务 方案 。 这 些 业 务 方案 就 是 
区 例如 : [HUAWEI-aaa- 在 17.2.3 节 表 17-4 中 创建 并 配置 的 , 选择 所 需 的 方案 即 可 。 如果 
domain-mydomain | 没有 业务 方案 ， 则 不 用 进行 本 步 设 置 
service-scheme servicesl 
state { active | block } (可 选 》 配置 域 的 状态 : 激活 (选择 active 二 选 一 选项 时 ) 或 者 
8 例如 ，[HUAWEI-aaa- ”| 阻塞 选择 block 二 选 一 选项 时 )。 当 域 处 于 阻塞 态 时 ， 属 于 该 域 的 
domain-mydomain ] 用 户 不 能 登录 。 缺 省 情况 下 ， 域 创建 后 处 于 激活 状态 ， 可 用 undo 
state active state 命令 恢复 域 的 状态 为 激活 状态 
quit 
9 例如 : [HUAWEI-aaa- ”| 退出 域 视图 ， 返 回 AAA 视图 
domain-mydomain ] quit 
domain-name-delimiter 
delimiter (可 选 》 配置 域名 分 隔 符 ， 可 以 是 \/:<>|@'% 中 的 一 个 
10 例如 : [HUAWEI-aaa- “| 缺 省 情况 下 ， 域 名 分 隔 符 为 @@， 可 用 domain-name-delimiter 命 
domain-mydomain ] 令 恢 复 域 名 分 隔 符 为 缺 省 的 @ 
domain-name-delimiter (@ 





dl! 





17.3 RADIUS 方式 认证 、 授 权 和 计 费 配置 








在 前 面 介绍 的 本 地 方式 认证 、 授 权 中 
这 仅 对 于 小 型 网 络 有 效 ， 因 为 设备 上 可 以 


器 ， 或 者 HWTACACS 服 务 器 进行 远 
月 


























用 户 账户 信息 和 用 户 授 权 
认证 功能 ， 也 就 同时 使 能 了 其 授权 功能 。 
说 明 











根据 图 17-3 (b) 可 以 得 知 RADIUS 认证 、 授 权 和 计 费 方式 的 配置 流程 。 
地 方式 的 配置 中 主要 不 同 在 于 前 面 两 项 配置 任务 ， 本 节 仅 介绍 这 两 项 配置 任务 的 
弛 方式 中 的 “配置 业务 方案 ”的 配置 方法 和 步骤 完全 





第 三 项 的 “配置 业务 方案 ”和 与 前 四 














使 用 的 是 在 本 地 设备 上 储存 的 用 户 信息 和 拓 
储存 的 用 户 数 是 很 有 限 的 。 所 以 ， 通 常 是 采 月 
程 认 证 、 授 权 ， 并 且 可 以 计 费 。 而 RADIUS 服务 器 ， 或 者 HWTACACS 
R 务 器 的 AAA 方案 更 加 安全 ， 可 以 避免 设备 遭受 攻击 。 

本 节 要 介绍 使 用 RADIUS 协 议 对 接 入 用 户 进行 认 训 
属性 等 自身 的 配置 ) 。 但 RADIUS 中 的 认证 和 授权 是 同步 进 


ji17.2.3 节 介绍 的 本 : 




















性 进行 认证 和 授权 ， 






































月 像 RADIUS 服 务 





FE、 授权 和 计 费 的 配置 方法 〈 不 包括 RADIUS 服务 器 中 




































































一 样 ， 不 同 的 只 是 这 里 配置 的 业务 方案 适 月 





于 RADIUS 服 务 嚣 认证、 授权 和 计 费 。 








第 四 
体 也 一 样 ， 有 如 下 两 处 不 同 的 地 方 。 





























行 的 ， 只 要 使 能 了 其 





在 RADIUS 方式 的 配置 中 ， 与 本 
让 体 配 置 方法 和 步骤 。 








项 的 “配置 域 的 AAA 方案 "和 17.2.4 节 介绍 的 本 地 方式 中 的 “配置 域 的 AAA 方案 ”的 配置 方法 与 步骤 总 


(1) 在 17.2.4 节 表 17-5 中 第 5 步 中 要 用 




















accounting-scheme accounting-scheme-name 命 令 来 蔡 换 ， 配 置 域 





的 计 费 方案 〈 因 为 在 RADIUS 服务 器 中 ， 认 证 与 授权 是 绑 定 在 一 起 的 ， 所 以 无 需 另外 配置 授权 方案 ) 。 




















(2) 在 17.2.4 节 表 17-5 中 
务 器 模板 。 这 需要 与 在 下 面 17. 
应 的 域 的 AAA 方案 中 绑 定 后 才能 得 到 应 用 。 


17.3.1 配置 AAA 方案 











包括 认证 没 通 过 的 情况 





























式 为 备份 计 费 。 有 具体 的 本 





在 RADIUS 方式 中 要 配置 采用 RADIUS 认 订 
以 配置 本 地 认证 或 不 认证 为 备份 认证 。 配 置 备份 认 订 
) 而 造成 的 认证 失败 。 同 理 ， 配 置 计 费 模式 为 RADIUS 计 费 时 还 可 以 配置 不 计 费 模 
b 置 步骤 如 表 17-6 所 示 。 












































第 7 步 后 要 添加 一 条 radius-server template-name 命 令 指定 域 要 使 / 
3.2 节 配置 的 RADIUS 服务 器 模板 一 致 ， 


FE、 授权 和 计 费 方式 。 配 置 认 订 
FE《〈 授 权 ) 可 以 避免 单一 认 说 














因为 RADIUS 服务 器 模板 也 只 























FE 模式 为 RADIUS 认 订 











的 RADIUS 服 


有 在 对 


FE 时 还 可 








FE《 授 权 ) 模式 无 响应 (不 











表 17-6 RADIUS 认证 、 计 费 中 的 AAA 方案 配置 步骤 

















步骤 命令 
system-view 
1 进入 系统 视 攻 
例如 : <HUAWEI> system-view 进入 系统 视图 
aaa 
2 进入 AAA 视 医 
例如 ，[HUAWEI] aaa 视图 
配置 AAA 认证 方案 
thentication-sch 本 ea 
创建 一 个 认证 方案 ， 并 进入 认证 方案 视图 或 直接 进入 一 
3 authentication-scheme-name 个 已 存在 的 认证 方案 视图 其 他 参 见 17.2.1 季 表 17-2 中 





例如 : [HUAWEI-aaa] 
authentication-scheme scheme0 





的 第 3 步 说 明 








( 续 表 ) 


authentication-mode radius 
[none ] 

例如 : [HUAWELaaa-authen- 
scheme0]authentication-mode 
radius 


配置 认证 模式 为 RADIUS 认证 , 同时 选择 可 选项 “none” 
时 , 表示 不 进行 认证 , 也 可 理解 为 直接 让 用 户 通过 认证 
如 果 想 要 同时 配置 本 地 认证 方式 为 备份 认证 方式 ， 则 可 
配置 authentication-mode radius local 命令 

【说 明 〗 如 果 在 一 个 认证 方案 中 使 用 多 种 认证 模式 ， 则 认证 
模式 的 执行 顺序 为 配置 的 先后 顺序 。 只 有 在 当前 认证 模式 没 
有 响应 的 情况 下 , 才 会 采用 下 一 种 认证 模式 ; 如 果 在 当前 认 
证 模式 认证 失败 ， 则 不 会 跳 转 到 下 一 个 认证 方案 进行 认证 
缺 省 情况 下 ， 认 证 模式 本 地 认证 ， 可 用 undo 
authentication-mode 命令 恢复 当前 认证 方案 使 用 的 认证 
| 模式 为 缺 省 的 本 地 认证 模式 








authentication-super ， 
{ hwtacacs | radius | super } 
[none ] 

例如 : [HUAWEl-aaa-authen- 
scheme0]jauthentication-super 
radius 


quit 

例如 : [HUAWEJ-aaa-authen- 
scheme0] quit 
domainname-parse-direction 
{left-to-right | right-to-left } 
例如 : [HUAWEI-aaa] 


domainname-parse-direction 
left-to-right 


配 


accounting-scheme accounting- 
scheme-name 

例如 : [HUAWEI-aaa] 
accounting-scheme schemel 


accounting-mode radius 

例如 : [HUAWEI-aaa-accounting- 
schemel] 

accounting-mode radius 


accounting start-fail 

{ online | offline } 

例如 : [HUAWEI-aaa-accounting- 
schemel J]accounting start-fail 


(可 选 ) 配置 使 用 当前 认证 方案 的 用 户 级 别提 升 时 的 认 
证 模式 。 这 与 本 地 认证 方式 中 的 用 户 级 别提 升 时 的 认 
证 方法 的 配置 方法 是 一 样 ， 其 他 说 明 参 见 表 17-2 中 的 
第 5 步 


退出 认证 方案 视图 ， 返 回 AAA 视图 


(可 选 ) 配置 用 户 名 和 域名 解析 的 方向 。 其 他 说 明 人 参见 
表 17-2 中 的 第 7 步 


置 AAA 计 费 方案 

创建 一 个 计 费 方案 ， 并 进入 计 费 方案 视图 或 直接 进入 一 
个 已 存在 的 计 费 方案 视图 . 其 他 参见 17.2.1 节 表 17-2 中 
的 第 3 步 说 明 ， 只 不 过 这 里 创建 的 是 计 费 方案 
缺 省 情况 下 ， 设 备 中 有 一 个 计 费 方案 ， 计 费 方案 名 称 是 
default， 不 能 删除 ， 只 能 修改 ， 可 用 undo authorization- 
scheme accounting-scheme-name 命令 删除 指 方案 定 的 计 费 
配置 计 费 模式 为 radius。 用 户 上 线 时 ， 经 过 认证 和 授权 
则 开始 计 费 ， 用 户 下 线 时 结束 计 费 。 担 当 AAA 客户 端 
的 接 入 设备 将 计 费 报 文 上 送 给 计 费 服务 器 ， 其 中 计 费 报 
文中 记录 了 用 户 在 线 的 时 间 

缺 省 情况 下 ， 计 费 模 式 采 用 不 计 费 模式 none (不 计 费 )， 
可 用 undo accounting-mode 命令 恢复 当前 计 费 方案 使 
用 缺 省 的 不 计 费 模式 

(可 选 ) 配置 开始 计 费 失败 策略 。 命 令 中 的 选项 说 明 如 下 。 
(1) online: 二 选 一 选项 ， 指 定 开 始 计 费 失败 策略 为 如 
果 开 始 计 费 失败 ， 仍 花 许 用 户 上 线 

(2) offline: 二 选 一 选项 ， 指 定 开始 计 费 失败 策略 为 如 
果 开 始 计 费 失败 ， 拒 绝 用 户 上 线 

缺 省 情况 下 ， 如 果 初 始 计 费 失败 ， 不 允许 用 户 上 线 ， 可 
用 undo accounting start-fail 命令 恢复 计 费 失败 策 酯 为 
缺 省 情况 








(可 选 ) 使 能 实时 计 费 功能 ， 并 设置 实时 计 费 时 间 间 陋 。 
参数 interval 用 来 指定 实时 计 费 的 时 间 间 隔 ， 取 值 范围 
为 0 一 65535 的 整数 分 钟 
配置 实时 计 费 后 ， 设 备 向 计 费 服务 器 定时 发 送 实时 计 
accounting realtime interval 费 报 文 ， 计 费 服务 器 收 到 实时 计 费 报 文 后 才 进 行 计 
例如 : [HUAWEI-aaa-accounting- | 费 。 如果 设备 检测 到 付费 用 户 下 线 , 则 停止 发 送 实时 
schemel]accounting realtime 60 | 计 费 报 文 ， 计 费 服 务 器 终止 计 费 ， 从 而 减 小 了 计 费 
误差 
缺 省 情况 下 ， 设 备 按时 长 计 费 ， 未 使 能 实时 计 费 功能 ， 
没有 设置 实时 计 费 间隔 ,可 用 undo accounting realtime 
命令 去 使 能 实时 计 费 功能 
(可 选 ) 配置 允许 设备 发 送 的 实时 计 费 请 求 最 大 无 响应 
次 数 ， 以 及 实时 计 费 失败 后 采取 的 策略 。 命 令 中 的 参数 
和 选项 说 明 如 下 。 
(1) max-times times: 可 选 参数 ， 指 定 允 许 实时 计 费 请 
求 最 大 无 响应 次 数 ， 取 值 范围 为 1 一 255 的 整数 。 当 实 
时 计 费 请 求 最 大 无 响应 次 数 达 到 此 最 大 值 时 ， 如 果 下 一 
次 计 弄 仍然 没有 响应 ， 设 备 认为 计 费 失败 ， 对 付费 
用 户 采 用 实时 计 费 失败 策略 

(2) online: 二 选 一 选项 ， 指 定 实时 计 费 失败 后 采取 
的 策略 为 online， 即 如 果实 时 计 费 失败 ， 仍 允许 用 户 
上 线 

(3) offline: 二 选 一 选项 ， 指 定 实时 计 费 失败 后 采 
取 的 策略 为 offline, 即 如 果实 时 计 费 失败 , 拒绝 用 户 
上 线 

缺 省 情况 下 ， 人 允许 的 实时 计 费 请 求 最 大 无 响应 次 数 为 3 
次 ， 实 时 计 费 失败 后 仍 保持 付费 用 户 在 线 ， 可 用 undo 
accounting interim-fail 命令 恢复 缺 省 配置 











accounting interim-fail 


[ max-times times ] { online | 
offline } 

例如 : [HUAWEI-aaa-accounting- 
schemel] accounting interim-fail 
max-times 5 online 











17.3.2 配置 RADIUS 服务 器 模板 





配置 RADIUS 服务 器 模板 关键 是 用 来 配置 与 RADIUS 服务 器 进行 通信 的 相关 参数 ， 如 RADIUS 服务 器 的 
卫 地 址 和 端口 号 ， 与 RADIUS 服务 器 通信 时 所 使 用 的 共享 密 钥 等 。 像 RADIUS 用 户 名 格式 、 流 量 计算 单位 、 
RADIUS 请 求 报 文 的 超时 重 传 次 数 等 参数 都 有 人 缺 省 配置 ， 用 户 可 以 根据 实际 需要 进行 修改 。RADIUS 服 务 器 
模板 也 是 要 在 对 应 的 域 的 AAA 方案 中 绑 定 才 能 得 到 应 用 。 

RADIUS 服务 器 模板 下 的 配置 如 RADIUS 用 户 名 格式 、RADIUS 共享 密 钥 等 要 与 RADIUS 服务 器 上 的 
对 应 配置 一 致 。RADIUS 服 务 器 有 许多 种 方案 〈 各 种 服务 器 操作 系统 都 提供 这 一 功能 ) ， 有 具体 参见 相关 文 
档 。RADIUS 服 务 器 模板 的 具体 配置 步骤 如 表 17-7 所 示 。 










































































表 17-7RADIUS 服 务 器 模板 的 配置 步骤 


| 


System-view Wk 
例如 : <HUAWEI> system-view 进入 系统 视图 


(可 选 ) 配置 RADIUS 服务 器 模板 中 的 RADIUS 授权 服 
务 回 ,包括 服务 器 的 下 地 址 和 共享 密 钥 。 命令 中 的 参数 
和 选项 说 明 如 下 。 
(1) ip-address: 指定 RADIUS 授权 服务 器 的 IP 地 址 。 
因为 在 RADIUS 中 ， 认 证 和 授权 功能 是 同时 启用 的 ， 所 
以 这 里 的 授权 服务 器 IP 地 址 与 本 表 第 4 步 的 RADIUS 
主 用 认证 服务 器 的 IP 地 址 必须 一 致 
(2) vpn-instance-name: 可 选 参数 ， 指 定 要 绑 定 的 VPN 
实例 名 称 , 为 1 一 31 个 字符 ,以 英文 字母 a 一 z 或 A 一 Z 
开始 ， 可 以 是 英文 字母 、 数 字 、 连 字符 “-” 或 下 划 线 的 
radius-server authorization 组 合 ， 区 分 大 小 写 
ip-adidress [-vpn-instance (3) group-name: 可 多 选 参数 ， 指 定 RADIUS 授权 服务 
vr-instance-name ] 器 对 应 的 RADIUS 服务 器 模板 名 称 ， 为 1 一 32 个 字符 ， 
{ server-group group-name | 不 支持 空格 ， 区 分 大 小 写 了 
shared-key {cipher | simple } (4) cipher: 二 选 一 选项 ， 指 定 以 密 文 形式 显示 用 户口 令 
key-string } ~ [ ack-reserved- (5) simple; 二 选 一 选项 ,指定 以 明文 形式 显示 用 户口 令 
interval interval ] (6) key-string; 可 多 选 参数 ， 指 定 与 RADIUS 授权 服务 
例如 : [HUAWEI] radius-server 器 通信 的 共享 密 钥 ， 如 果 选 择 simple 选项 ， 则 必须 是 明 
authorization 00 116 4。 | 文 密码 ,为 1 一 16 位 字符 只， 如 果 选 择 cipher 选项 ， 则 
pao ms | 既 可 以 是 32 位 的 密 文 密码 ， 也 可 以 是 1 一 16 位 的 明文 
密码 。 不 支持 空格 、 单 引号 和 问号 ， 区 分 大 小 写 。 通 常 
与 本 表 第 8 步 配 置 的 密 钥 是 一 致 的 
(7) imiervwal: 可 选 参数 ， 指 定 授 权 遇 应 报 文 的 保留 时 
长 ， 取 值 范围 为 0 一 300 的 整数 秒 。 缺 省 值 是 0 秒 ， 不 
保留 。 如 果 要 保留 RADIUS 授权 响应 报 文 以 用 于 响应 
RADIUS 授权 服务 器 的 重 传 报 文 ， 需 要 配置 授权 回应 
报 文保 留 时 长 
缺 省 情况 下 , 没有 配置 RADIUS 授权 服务 器 , 可 用 undo 
radius-server authorization ip-address [ vpn-instance 
vpn-instance-name ] 命令 删除 RADIUS 服务 器 模板 中 的 
RADIUS 授权 服务 器 的 相关 配置 
创建 RADIUS 服务 器 模板 , 并 进入 RADIUS 服务 器 模板 
视图 。 参数 femplate-name 用 来 指定 更 进入 的 RADIUS 
ot 服务 器 模板 名 称 。 不 同系 列 允许 创建 的 RADIUS 服务 器 
模板 数 不 一 样 ， 具 体 参见 相应 产品 文档 说 明 
AoE radiweserver | 缺 省 情况 下 ， 设 备 上 没有 RADIUS 服务 器 模板 ， 可 用 
undo radius-server template remplare-name 命令 删除 指 
定 的 RADIUS 服务 器 模板 
radius-server authentication 配置 RADIUS 主 用 认证 服务 器 ,命令 中 的 参数 说 明 如 下 。 
ip-address port [ vpn-instance (1) ip-address port: 指定 RADIUS 认证 服务 器 的 IP 地 
ts | 址 和 端口 号 ， 端 口号 的 取 值 范围 为 1 一 65 535 的 整数 
条 作 (2D wnsioneemanes 可 多 参数 指定 要 定 的 YPN 


人 1 (3) loopback interface-number: 可 多 选 参 数 ， 指 定 作 
10.163.155.13 1813 souree 为 源 接 口 的 的 Loopback 接口 编号 ， 取 值 范围 为 0 一 


loopback 10 1 023 的 整数 





radius-server authentication 
ip-address port [ vpn-instance 
Wpr-instance-name | source 

{ loopback interface-number | 


radius-server authentication 
10.163.155.13 1813 source 
loopback 10 


authentication ip-address port 
[ vpn-instance tpn-instance- 
name | source { loopback 
interface-nimber lip-address 
ip-address } ] "secondary 


10.163.155.15 1813 source 
loopback 10 secondary 


radius-server accounting 
ip-address port [ vpn-instance 


radius-server accounting 
10.163.155.13 1812 source 
loopback 10 


radius-server accounting 
ip-address port [ vpn-instance 
WP-instance-name | source 

{ loopback interface-number | 
ip-address ip-address } ] ~ 
secondary 

例如 : [HUAWEI-radius-ternplatel] 
radius-server accountins 
10.163.155.15 1812 source 
loopback 10 secondary 


radius-server shared-key 
[cipher | simple ] hey-sming 
例如 : [HUAWEI-radius-templatel] 
radius-server shared-key 
cipher huawei 


。 p-address 六 -address: 可 多 选 优 数 ， 指 定 作为 阿 
RADIUS 认证 服务 器 发 送 RADIUS 报 文 时 使 用 的 源 下 
地 址 。 如 果 没 有 配置 此 优 数 ， 则 使 用 前 面 指定 的 
Loopback 接口 的 下 她 直 作为 向 RADIUS 认证 服务 器 
发 送 RADIUS 报 文 时 使 用 的 济 下 地 址 

缺 省 情况 下 , RADIUS 主 用 认证 服务 器 移 四 地 址 为 0.0.0.0， 

端口 号 为 0， 可 用 unde radius-server authentication 

[ ip-address port [ vpn-instance vpn- instance-name ] ] 

[ source { loopback irserfisce-rmmmber | ip-address ip-aderess } ] 

命令 隶 除 指定 的 RADIUS 主 用 认证 服务 器 配置 


(可 选 》 孔 置 RADIUS 备用 认证 最 务 器 。 其 他 说 明 人 参见 
上 一 步 主 RADIUS 认证 服务 器 配置 

缺 省 情况 下 ，RADIUS 主 用 认证 服务 器 的 于 地 址 为 
0000 ， 端 口号 为 0， 可 用 undo radius-server 
authentication [ ip-address port [ YPn-instance Wpn- 
instance-name ] ] [ source { loopback interface-mumber | 
地 -address 加 -addyess } ] secondary 命令 刊 除 指定 的 RADIUS 
备用 认证 最 务 吕 配置 


配置 RADIUS 主 用 计 费 服务 器 。 命令 中 的 参数 与 前 加 第 4 步 
中 RADIUS 主 用 认证 服务 嚣 中 的 对 应 参数 一 样 ， 只 不 过 这 里 
指定 的 RADIUS 主 计 费 服 务 器 中 的 对 应 佑 数值 ， 戎 见 即 可 
通常 RADIUS 主 用 计 费 服务 器 与 RADIUS 主 用 认证 服 
务 品 在 同一 台 主 机 上 ， 所 以 两 者 的 IP 地 址 通常 是 一 样 
的 ， 端 口 也 可 以 一 样 

该 省 情况 下 , RADIUS 主 用 计 费 服务 器 的 四 地 址 为 0.0:0.0， 
端口 号 为 0, 可 用 undo radius-server accounting [ ip-addess 
port [ vpn-instance rpm-instance-name ] ] [ source { loopback 
infterface-mumber | 刘 -address ip-address } ] 命令 利 除 指定 的 
RADIUS 主 用 计 费 服务 器 的 相关 配置 

《可 选 ) 陀 置 RADIUS 备用 计 费 服务 器 ,参数 同样 可 参 冕 
前 面 第 4 步 中 的 RADIUS 主 用 认证 服务 器 中 的 对 应 佑 数 
通常 RADIUS 备用 计 费 服务 器 与 RADIUS 备用 认证 服 
务 儿 是 在 周一 台 主机 上 ， 所 以 两 者 的 耳 地 址 通常 是 一 
样 的 ， 端 口 也 可 以 一 样 

该 省 情况 下 , RADIUS 备份 计 费 服务 器 的 卫 地 址 为 000.0. 
端口 号 为 0, 可 用 wndo radius-server accounting [ ip-adebess 


Pp 
除 指定 的 RADIUS 备用 计 费 服务 器 的 相关 配置 
可 选 ) 顶 置 担 当 上 AAA 客户 端的 本 地 接 入 设备 与 RADIUS 
服务 器 (包括 认证 和 计 费 服务 器 ) 通信 的 共享 密 负 。 命令 
中 的 对 数 可 参见 本 表征 2 步 的 中 对 应 参数 说 明 
【 语 明 】 设 备 和 RADIUS 政务 器 在 发 送 认 证 报 文 时 ， 对 口 
令 等 重要 忆 息 使 用 MD5 加 密 ， 确 保 认 主 信 息 在 网 站 中 传 
验 的 安全 性 。 为 了 确保 认证 戏 方 身份 的 合法 性 ， 和 要求 设备 
上 配置 的 密 铜 与 RADIUS 认证 有 职务 器 的 密 铅 相同。 如 采 配 
置 密 钥 对 不 怖 smple 成 cipher 关键 字 , 则 按 密 文 形式 处 理 
缺 省 情况 下 ，RADIUS 共享 密 钥 是 huawei， 采 用 明文 形 
式 显 示 用 户口 令 ， 可 用 undo radius-server shared-key 
命令 恢复 评 省 配置 





( 续 表 ) 


radius-server user-name 
domain-included 

例如 : [HUAWEI-radius-template1] 
radius-server user-name 
domain-included 


radius-server traffic-unit 

{ byte | kbyte | mbyte | gbyte } 
例如 : [HUAWEI-radius-template1] 
radius-server traffic-unit kbyte 


radius-server | retransmit 
retry-times | timeout time-value 全 
例如 : [HUAWEI-radius-template1] 
radius-server retransmit 4 
timeout 8 


radius-server nas-port-format 
{new |old } 

例如 : [HUAWEI-radius-template1] 
radius-server nas-port-format 
new 





(可 选 ) 配置 设备 向 RADIUS 服务 器 发 送 的 报 文 中 的 用 
户 名 包含 域名 。 用 户 名 通常 采用 “ 纯 用 户 名 @ 域 名 ” 格 
式 ，@ 后 面 的 部 分 为 域名 。 这 里 @ 表 示 域 名 分 隔 符 ， 域 
名 分 隔 符 也 可 以 是 \/:<>|'% 中 的 一 个 。 但 只 有 当 该 
RADIUS 服务 器 模板 没有 用 户 使 用 时 ， 才 能 改变 此 配置 
缺 省 情况 下 ，RADIUS 用 户 名 中 包含 域名 ， 即 设备 会 把 
用 户 名 和 域名 及 域名 分 隔 符 一 起 发 送 给 RADIUS 服务 器 
进行 认证 * 如 果 RADIUS 服务 器 不 接受 带 域名 的 用 户 名 ， 
可 以 执行 命令 undo radius-server user-name 
domain-included， 设 备 会 将 用 户 名 中 的 域名 去 掉 ， 再 发 
送 给 RADIUS 服务 器 

(可 选 ) 配置 RADIUS 计 费 服务 器 计 跑 时 所 采用 的 流量 
统计 单位 。 命 令 中 的 选项 说 明 如 下 。 

(1) byte: 多 选 一 选项 ， 指 定 以 字 节 为 流量 单位 

(2) kbyte: 多 选 一 选项 ， 指 定 以 千 字 节 为 流量 单位 
(3) mbyte: 多 选 一 选项 ， 指 定 以 兆 字 节 为 流量 单位 
(4) gbyte: 多 选 一 选项 ， 指 定 以 吉 字 节 为 流量 单位 
由 于 不 同 的 RADIUS 服务 器 使 用 的 流量 统计 单位 可 能 不 同 ， 
因此 ， 需 要 在 设备 上 针对 每 一 个 RADIUS 服务 器 组 设置 流 
量 单位 , 和 RADIUS 服务 器 保持 一 致 ,但 只 有 当 该 RADIUS 
服务 器 模板 没有 用 户 使 用 时 ， 才 能 改变 流量 单位 的 配置 
缺 省 情况 下 ， 设 备 以 字 节 (byte) 作为 RADIUS 流量 单位 ， 
可 用 undo radius-server traffic-unit 命令 恢复 为 缺 省 配置 
(可 选 ) 配置 RADIUS 请 求 报 文 双 许 的 超时 重 传 次 数 和 
超时 时 间 。 命 令 中 的 参数 说 明 如 下 。 

(1) retry-times: 可 多 选 参数 ， 指 定 允 许 的 RADIUS 请 
求 报 文 超时 重 传 次 数 ， 取 值 范围 为 1 一 5 的 整数 

(2) time-value: 可 多 选 参数 ,指定 RADIUS 请 求 报 文 的 
超时 时 间 ， 取 值 范围 为 3 一 10 的 整数 秒 ， 缺 省 值 是 5 秒 
缺 省 情况 下 ，RADIUS 请 求 报 文 的 超时 重 传 次 数 为 3， 
超时 时 间 是 5s 

《可 选 ) 配置 RADIUS 服务 器 的 NAS 端口 形式 ,命令 中 
的 选项 说 明 如 下 ， 

(1) new: 二 选 一 选项 ， 指 定 采用 新 的 NAS 端口 形式 
(2) old: 二 选 一 选项 ， 指 定 采用 提 的 NAS 端口 形式 
【说 明 】〗】NAS 端口 两 种 形式 的 区 别 主 要 在 于 以 太 接 入 用 
户 的 物理 端口 : 选择 new 时 ,端口 形式 为 模 位 号 (8 位) 
十 子 档 位 号 (4 位 ) 十 端口 号 (8 位 ) 十 VLAN ID (12 
位 ) ;选择 old 时 ， 端口 形式 为 模 位 号 (12 位 ) 十 端口 号 
(8 位 ) 十 VLAN ID (12 位)。 但 对 于 ADSL 接 入 用 户 ， 
不 党 此 命令 的 影响 ， 端 口 形式 都 是 模 位 号 (4 位 ) 十 子 
模 位 号 (2 位 ) 十 端口 号 (2 位 ) 十 VPI (8 位 ) 十 VCI 
(16 位 )。NAS 端口 和 NAS 端口 ID 形式 都 属于 华为 公 
司 内 部 扩展 的 属性 ， 仅 用 于 华为 公司 设备 之 间 的 互通 和 
业务 配合 

人 缺 省 情况 下 ， 采 用 新 的 NAS 端口 形式 ， 可 用 undo radius- 
server nas-port-format 命令 恢复 缺 省 的 NAS 痊 口 形式 








(可 选 ) 配置 RADIUS 服务 器 的 NAS 端口 ID 形式 , 命令 
中 的 选项 说 明 如 下 。 
(1) new: 二 选 一 选项 ， 指 定 采用 新 的 NAS 端口 ID 形式 
(2) old: 二 选 一 选项 ， 指 定 采用 旧 的 NAS 端口 ID 形式 
【说 明 】〗NAS 端口 ID 两 种 形式 的 说 明 如 下 -。 
(1) 选择 new 时 ， 对 于 以 太 接 入 用 户 ，NAS 端口 ID 形式 为 
slot=XX:; subslot=XX; por=XXX: VLANID=XXXX:;, 其 
中 ，Siot 取 值 范围 为 0 一 15 的 整数 ，Subslot 取 值 范围 为 0 一 15 
的 整数 ，Port 到 值 范围 为 0~255 的 整数 ，VLANID 取 值 范围 
为 1 一 4 094 的 整数 ; 对 于 ADSL 接 入 用 户 , NAS 端口 ID 形式 
radius-server nas-port-id-format | 为 : slot=XX: subslot 一 X; port=X; VPI=XXX: VCI=XXXXX: 





lnew | old} 其 中 ，Slot 取 值 范围 为 0 一 15 的 整数 ，Subslot 取 值 范围 为 0~9 
13 | 例如 : [HUAWELradius-templatel] | 的 整数 ，Port 取 值 范围 为 0~9 的 整数 ，VPI 取 值 范围 为 0~255 

radius-server nas-port-id- 的 整数 ，VCI 取 值 范围 为 0~65 535 的 尾数 

format new (2) 选择 old 时 ， 对 于 以 太 接 入 用 户 ，NAS 端口 ID 形式 


为 : 端口 号 (其 个 字符 ) 十 子 槽 号 (两 个 字 节 ) 十 卡号 (三 
个 字 节 ) 十 VLANID (9 个 字符 ); 对 于 ADSL 接 入 用 户 ， 
NAS 端口 ID 形式 为 : 端口 号 (两 个 字符 ) 十 子 档 号 〈 两 
个 字 节 ) 十 卡号 (三 个 字 节 ) 十 VPI (8 个 字符 ) 十 VCI 
(16 个 字符 )， 学 节 数 不 够 的 ， 在 前 面 补 零 

NAS 端口 和 NAS 端口 ID 形式 都 属于 华为 公司 内 部 扩展 
的 属性 ， 仅 用 于 华为 公司 设备 之 间 的 互通 和 业务 配合 
缺 省 情况 下 ， 采 用 新 的 NAS 端口 ID 形式 ， 可 用 undo 
radius-server nas-port-id-format 命令 恢复 为 缺 省 的 NAS 





端口 ID 形式 
(可 选 ) 配置 NAS 发 送 RADIUS 报 文 合用 的 NAS-IP-Address 属 
radius-attribute nas-ip 性 。 参 数 jp-adkress 用 来 指定 设备 发 送 RADIUS 报 文 使 用 的 
ip-address NAS-IP-Address 属性 值 ， 也 就 是 发 送 RADIUS 报 文 的 源 呈 地 址 
14 例如 : [HUAWEI-radius-templatel] | 缺 省 情况 下 , 使 用 NAS 源 IP 地 址 (也 就 是 在 本 表 第 4 步 
radius-attribute nas-ip 指定 的 loopback 接口 IP 地 址 ) 作 为 NAS-IP-Address 属性 
10.163.155.13 的 值 ， 可 用 undo radius-attribute nas-ip 命令 删除 配 辕 的 


NAS-IP-Address 属性 

(可 选 ) 使 能 RADIUS 计 费 结束 报 文 的 重 传 功能 ， 并 配置 
radius-server accounting-stop- | 可 重 发 的 计 费 停止 报 文 个 数 ,可 选 参数 yesend-times 用 来 指 
packet resend [ resend-times ] | 定 可 重 发 的 计 费 停止 报 文 个 数 ， 取 值 范 围 为 1 一 300 的 整 
15 | 例如 : [HUAWEI-radius-template1] | 数 。 若 执行 本 命令 时 不 输入 此 可 选 参 数 ， 则 缺 省 为 100 
radius-server accounting-stop- | 缺 省 情况 下 ， 计 和 渴 停 止 报 文 的 重 发 次 数 为 0， 即 计 费 停止 
packet resend 3 报 文 不 重 发 ， 可 用 undo radius-server accounting- 
stop-packet 命令 恢复 为 缺 省 情况 
(可 选 ) 配置 RADIUS 主 用 服务 器 恢复 激活 状态 的 时 间 ， 
取 值 范围 为 1 一 65 535 的 更 数 分 钟 
【说 明 】〗 当 设备 将 RADIUS 服务 器 的 状态 置 为 Down 后 ， 等 
待 本 命令 配置 的 时 间 后 ， 设 备 会 重新 将 RADIUS 服务 器 的 状 
态 置 为 UP， 并 演 谍 和 RADIUS 服务 器 重新 建立 连接 。 如 果 
连接 失败 ， 设 备 重 新 将 RADIUS 服务 器 的 状态 置 为 Down。 但 
只 有 当 该 RADIUS 模板 没有 用 户 使 用 时 ， 才 能 改变 此 配置 
缺 省 情况 下 ， 主 用 服务 器 恢复 激活 状态 的 时 间 为 Smin， 
可 用 undo radius-server dead-time 命令 将 主 用 服务 器 饶 
复 激活 状态 的 时 间 恢 复 为 缺 省 值 








radius-server dead-time dead-time 
16 例如 : [HUAWEI-radius-template1] 
radius-server dead-time | 








return 
例如 : [HUAWEI-radius-templatel] | 返回 用 户 视图 
return 


(可 选 ) 测试 用 户 是 否 能 够 通过 RADIUS 认证 。 命令 中 的 
参数 和 选项 说 明 如 下 : 
test-aaa user-name user-password | (1) user-name user-password: 指定 要 测试 的 用 户 名 和 密码 


a template-name (2) template-name: 指定 测试 的 RADIUS 服务 器 模板 名 称 
Dehap pap (3) chap: 二 选 一 选项 ， 指 定 认证 方式 为 CHAP 认证 


例如 : [HUAWEI-radius-template1] a eh 
test-aaa userl(@mydomain (4) pap: 一 选 一 选项 ， 指 定 认证 方式 为 PAP 认证 


et 如 果 某 个 用 户 无 法 通过 认证 , 可 以 在 设备 上 执行 本 命令 定位 

oti pd 故障 : 如 果 测试 结果 表明 该 用 户 可 以 通过 RADIUS 认证 ， 
则 证 明 故障 出 现在 接 入 认证 ; 如 果 测试 结果 表明 该 用 户 无 法 
通过 RADIUS 认证 ， 则 证 明 故 障 出 现在 RADIUS 认证 





17.3.3 RADIUS 认 证 、 授 权 和 计 费 配置 示例 





本 示例 拓扑 结构 如 图 17-4 所 示 ， 用 户 同 处 于 huawei 域 ， 通 过 SwitchA 访 问 网 络 。SwitchB 作为 目的 网 络 














(Destination Network ) 的 接 入 服务 器 (NAS) 。 现 要 在 SwitchB 上 采用 以 下 RADIUS 方式 的 AAA 方案 控制 
户 访 问 目的 网 络 。 

(1) 为 了 提高 认证 的 可 靠 性 ，SwitchB 对 接 入 用 户 先 用 RADIUS 服务 器 进行 认证 ， 如 果 认 证 没有 响应 ， 
再 使 用 本 地 认证 。 
(2) RADIUS 服务 器 129.7.66.66/24 作为 主 用 认证 服务 器 和 计 费 服务 器 ，RADIUS 服 务 器 129.7.66.67/24 
作为 备用 认证 服务 器 和 计 费 服务 器 ， 认 证 端口 号 缺 省 为 1812， 计 费 端口 号 缺 省 为 1813。 
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Domain Huawei 


Switch A Switch B 


129.7.66.66/24 


129.7.66.67/24 


Network 





图 17-4 RADIUS 方 式 认 证 、 授 权 和 计 费 配置 示例 拓扑 结构 











1. 基本 配置 思路 
根据 图 17-3 〈b) 所 示 的 流程 ， 再 结合 本 示例 的 具体 要 求 得 出 以 下 基本 配置 思路 〈 均 在 SwitchB 上 配置 ， 
没有 特别 的 业务 方案 要 求 ， 所 以 可 无 需 配置 业务 方案 ， 直 接 采 用 缺 省 配置 即 可 ) : 
(1) 配置 AAA 方案 ， 包 括 RADIUS 认 证 方案 和 计 费 方案 。 
(2) 配置 RADIUS 服务 器 模板 。 
(3) 在 huawei 域 下 绑 定 上 面 的 RADIUS 认证 、 计 费 方 案 和 RADIUS 服务 器 模板 。 
2. 具体 配置 步骤 
(1) 配置 RADIUS 认证 方案 和 计 费 方案 。 根 据 示例 的 要 求 ， 以 本 地 认证 作为 备份 认证 方式 。 
[HUAWEI] aaa 
[HUAWEI-aaa] authentication-scheme auth” #--- 配 置 认证 方案 名 为 auth 
[HUAWEI-aaa-authen-auth] authentication-mode radius local #--- 配 置 认证 模式 为 先进 行 RADIUS 认 证 
RADIUS 认证 服务 器 无 响应 后 再 进行 本 地 认证 
[HUAWEI-aaa-authen-auth] quit 
[HUAWEI-aaa] accounting-scheme abc #--- 配 置 计 费 方案 abc 
[HUAWEI-aaa-accounting-abc] accounting-mode radius #--- 配 置 计 费 模式 为 RADIUS 计 费 模 式 
[HUAWEI-aaa-accounting-abc] accounting start-fail online #--- 配 置 当 开 始 计 费 失败 时 ， 人 允许 用 户 上 线 
[HUAWEI-aaa-accounting-abc] quit 
(2) 配置 RADIUS 服务 器 模板 。 
<HUAWEI>system-view 
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[HUAWEI] radius-server template shiva #--- 配 置 RADIUS 服 务 器 模板 shiva 
[HUAWEI-radius-shiva] radius-server authentication 129.7.66.66 1812 #--- 配 置 RADIUS 主 用 认证 服务 器 的 


JP 地址 和 端口 





[HUAWEI-radius-shiva] radius-server accounting129.7.66.66 1813 #--- 配 置 RADIUS 主 


地 址 和 端口 
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mn 





目 计 费 服务 器 的 人 P 















































[HUAWEI-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary #--- 配 置 RADIUS 备 用 认 
证 服务 器 的 IP 地 址 和 端口 











[HUAWEI-radius-shiva] radius-server accounting129.7.66.67 1813 secondary #--- 配 置 RADIUS 备 用 计 费 服 


务 器 的 IP 地 址 和 端口 
































[HUAWEI-radius-shiva] radius-server shared-key cipherhello #--- 配 置 RADIUS 服 务 器 的 共享 密 钥 为 hello 
[HUAWEI-radius-shiva] radius-server retransmit 2 #--- 配 置 设备 向 RADIUS 服 务 器 发 送 请 求 报 文 的 超时 重 


传 次 数 为 2 









































[HUAWEI-radius-shival] guit 
(3) 配置 huawei 域 ， 并 在 域 下 绑 定 以 上 配置 的 认证 方案 、 计 费 方案 和 RADIUS 服务 器 模板 。 
[HUAWEI-aaal] domain huawei 


[HUAWEI-aaa-domain-huawei] authentication-scheme auth 





















































[HUAWEI-aaa-domain-huawei] accounting-scheme abc 


[HUAWEI-aaa-domain-huawei] radius-server shiva 
配置 好 后 在 SwitchB 上 执行 display radius-server configuration template 命 令 可 以 查看 到 该 RADIUS 服 务 器 
模板 的 配置 与 上 述 配置 是 一 致 的 。 
























































17.4 HWTACACS 方 式 认 证 、 授 权 和 计 费 配置 








HWTACACS 协 议 与 RADIUS 协 议 类 似 ， 主 要 是 通过 C/S 模 式 与 HWTACACS 服 务 器 通信 来 实现 对 接 入 用 









































户 进行 认证 、 授 权 和 计 费 。 但 与 RADIUS 相 比 ，HWTACACS 具 有 更 加 可 靠 的 传输 和 加 密 特性 ， 更 加 适合 











安全 控制 。 采 | 

















支持 对 命令 行进 行 授 
本 节 要 介绍 使 用 HWTACACS 协 议 对 接 入 用 户 进行 认证 、 授 权 和 计 费 的 配置 方法 (不 包括 HWTACACS 
长 户 信息 和 用 户 授 权 属 性 等 自身 的 配置 ) 。 

















服务 器 中 用 户 骨 








说 明 























HWTACACS 方 式 进行 认证 、 授 权 、 计 费 可 以 防止 非法 用 户 对 网 络 的 攻击 ，HWTACACS 还 








权 ， 比 RADIUS 更 适用 于 进行 安全 控制 。 






































根据 图 17-3〈c) 可 以 得 知 HWTACACS 认证 、 授 权 和 计 费 方式 的 配置 流程 。 在 HWTACACS 方式 的 配 
































法 和 步骤 。 


第 三 项 的 “配置 J 
一 样 ， 不 同 的 只 是 这 






























































置 中 ， 与 本 地 方式 的 配置 中 也 主要 不 同 在 于 前 面 两 项 配置 任务 ， 本 节 仅 介绍 这 两 项 配置 任务 的 具体 配置 方 























> 





务 方案 * 和 与 前 面 17.2.3 节 介绍 的 本 地 方式 中 的 “配置 业务 方案 ”的 配置 方法 和 步 又 完 4 
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里 配置 的 业务 方案 适用 于 HWTACACS 服 务 器 认证 、 授 权 和 计 费 。 














第 四 项 的 “配置 域 的 AAA 方案 ”和 17.2.4 节 介绍 的 本 地 方式 中 的 “配置 域 的 AAA 方案 ”的 配置 方法 与 步骤 总 
体 也 一 样 ， 两 个 的 不 








(1) 在 17.2.4 节 表 17-5 中 第 5 步 之 后 要 添加 一 条 accounting-scheme accounting-scheme-name 命 令 来 配 
置 域 的 计 费 方案 〈 在 HWTACACS 服 务 器 中 ， 认 证 、 授 权 和 计 费 功能 都 是 分 开 的 ， 所 以 需要 分 别 为 它们 配置 
相应 使 用 的 业务 方案 ) 。 

































































同 之 处 如 下 。 












































(2) 在 17.2.4 节 表 17-5 中 第 7 步 后 要 添加 一 条 hwtacacs-server template-name 命 令 指定 域 要 使 | 











HWTACACS 服 务 器 模板 。 这 需要 与 在 下 面 17.4.2 节 配置 的 HWTACACS 服 务 器 模板 一 致 。 


17.4.1 配置 AAA 方案 











采用 HWTACACS 方 式 时 ， 需 要 配置 HWTACACS 认 证 、 授 权 和 计 费 模式 ， 同 样 还 可 以 配置 本 地 认证 、 
或 授权 模式 。 配 置 备份 认证 可 以 避免 单一 认证 或 授权 模式 无 响应 而 造成 








授权 或 不 认证 、 不 授权 为 备份 认 说 












































的 认证 或 授权 失败 。HWTACACS 方 式 AAA 方 案 的 配置 步骤 如 表 17-8 所 示 。 

















表 17-8 HWTACACS 方 式 AAA 方 案 的 配置 步 又 


命令 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





aaa 
例如 : [HUAWEI] aaa 





进入 AAA 视图 











本 


[a 





园 AAA 认证 方案 





authentication-scheme 
authentication-scheme-name 
例如 : [HUAWEI-aaa] 
authentication-scheme Scheme0 


创建 一 个 认证 方案 , 并 进入 认证 方案 视图 或 直接 进入 一 
个 已 存在 的 认证 方案 视图 。 其 他 参见 表 17-2 中 的 第 3 
步 说 明 





authentication-mode hwtacacs 
[none] 

例如 : [HUAWEI-aaa-authen- 
scheme0]jauthentication-mode 
hwtacacs 


配置 认证 模式 为 hwtacacs 认证 。 选 择 可 选项 “none” 
时 表示 不 进行 认证 ， 也 可 理解 为 直接 让 用 户 通过 认证 。 
如 果 想 要 同时 配置 本 地 认证 方式 为 备份 认证 方式 ， 则 可 
配置 authentication-mode hwtacacs local 命令 

【说 明 〗 如 果 在 一 个 认证 方案 中 使 用 多 种 认证 模式 ， 则 认证 
模式 的 执行 顺序 为 配置 的 先后 顺序 。 只 有 在 当前 认证 模式 没 
有 响应 的 情况 下 , 才 会 采用 下 一 种 认证 模式 ; 如 果 在 当前 认 
证 模式 认证 失败 ， 则 不 会 跳 转 到 下 一 个 认证 方案 进行 认证 
缺 省 情况 下 ， 认 证 模式 就 为 本 地 认证 ， 可 用 undo 
authentication-mode 命令 恢复 当前 认证 方案 使 用 的 认 
证 模式 为 缺 省 的 本 地 认证 模式 





























( 续 表 ) 


authentication-s 

radius | super } [none] (可 选 ) 配 辕 使 用 当前 认证 方案 的 用 户 级 别提 升 时 的 认证 
例如 : [HUAWEI-aaa-authen- ”| 模式 。 这 与 本 地 认证 方式 中 的 用 户 级 别提 升 时 的 认证 方 
A 法 的 配置 方法 一 样 ， 其 他 说 明 参 见 表 17-2 中 的 第 5 步 
radius 


例如 : [HUAWEI-aaa-authen- ”| 退出 认证 方案 视图 ， 返 回 AAA 视图 
scheme0] quit 


domainname-parse-direction 

{ left-to-right | right-to-left } : 人 他 说 明 3 
Mn El “可 选 ) 本 秆 用 记名 和 域名 解析 的 方向 。 其 他 说 明 参 见 表 
domainname-parse-direction 
left-to-right 


Spt 退出 AAA 视图 ， 返 回 系统 视图 


例如 : [HUAWEI-aaa] quit 

配 转 认证 劳 路 时 间 ， 取 值 范围 为 1 一 1 440 整数 分 钟 
【说 明 〗 使 能 此 功能 后 ， 如 果 远 端 认 证 无 响应 ， 则 在 配置 
的 旁 路 时 间 内 直接 跳 过 无 响应 的 远 端 认证 ,直接 沙 转 到 第 
4 步 所 配置 的 下 一 个 认证 方式 ， 如 果 未 配置 下 一 个 认证 方 
式 ， 则 按 失 歼 处 理 





aaa-authen-bypass enable time 
lime-value 
例如 : [HUAWEI] 


aaa-authen-bypassenable time2 | 缺 省 情况 下 ， 未 配置 认证 旁 路 时 间 ， 可 用 undo 
aaa-authen-bypass enable 命令 取消 配置 认证 旁 路 时 间 
配置 AAA 授权 方案 


aaa » 
EC [ee 


authorization-scheme 
authorization-scheme-name 创建 一 个 授权 方案 ， 并 进入 授权 方案 视图 或 直接 进入 一 个 
例如 : [HUAWEI-aaa] 已 存在 的 授权 方案 视图 。 其 他 说 明 参 见 表 17-2 中 的 第 8 步 
authorization-scheme schemel 
配置 授权 模式 。 命 令 中 的 选项 说 明 如 下 ， 
(1) hwtacacs: 可 多 选项 ， 指 定 授权 模式 为 HWTACACS 授权 
模式 ,如 果 采 用 HWTACACS 授权 模式 , 必须 配置 HWTACACS 
(2y local。 避 季 过 项， 指定 授权 必 式 为 本 地 授权 机 区 和 
(2) local: 可 多 选项 ， 指 定 式 为 本 式 。 如 
snthorjzation-modet hwtacacs | | 果 同时 选择 了 hwtacacs 选项 ， 则 授权 模式 的 执行 顺序 为 
例 加 [HOAWEI-aaaauthor。 | 配置 的 先后 顺序 。 只 有 在 当前 授权 模式 没有 响应 的 情况 
下 ， 才 会 采用 下 一 种 授权 模式 ， 如果 当前 授权 模式 失败 ， 
schemel1] authorization-mode 则 不 会 采用 下 一 种 授权 模式 进行 授权 
Ne (3) none: 可 选项 ， 指 定 授权 模式 为 无 需 授权 ， 直 接 为 用 
户 
缺 省 情况 下 ， 授 权 模 式 为 本 地 授权 模式 ， 可 用 undo 
authorization-mode 命令 恢复 当前 授权 方案 使 用 的 授权 横 
式 为 缺 省 的 本 地 授权 模式 
(可 选 ) 为 指定 级 别 的 用 户 配置 按 命 令 行 授权 〈 也 就 是 使 用 
入 人 将 指 寻 的 全 要 种 定 罗 允诺 的 全 信 级 项” 导体 参见 有 
定 的 命令 行 指定 为 对 应 的 别 ， 见 
suthoriaatonemg privileee-level | 书 第 2 章 2.1.4 节 )。 命 令 中 的 参数 和 选项 说 明 如 下 。 
wtac [ (1) privilege-level: 指定 要 进行 命令 行 授权 的 用 户 级 别 ， 
例如 [HUAWEl-aaa-author- | 取 伟 围 站 0 一 15 的 整数 
ebm) authorization-cmd 2 | (2) hwtacacs; 指定 按 命 令 行 授权 模式 为 HWTACACS 模 
式 , 如 果 使 能 按 HWTACACS 模式 进行 命令 行 授权 ,必须 
配置 HWTACACS 服务 器 模板 , 然后 在 用 户 所 属 域 的 视图 
下 应 用 该 服务 器 模板 








authorization-cmd privilege-/level 
hwtacacs [ local ] [ none ] 

例如 : [HUAWEI-aaa-author- 
schemel] authorization-cmd 2 
hwtacacs 


quit 
例如 : [HUAWEl-aaa-author- 
scheme]] quit 


(3) loeal: 可 选项 ， 指 定 当 HWTACACS 服务 器 出 现 故 
障 导致 授权 人 失败， 将 授权 方式 转 为 本 地 授权 

缺 省 情况 下 ，0 一 15 级 用 户 都 没有 配置 按 命 令 行 授 
权 ， 直 接 使 用 该 用 户 级 别 可 对 应 的 命令 级 别 ， 可 用 
undo authorization-mode 命令 恢复 当前 授权 方案 使 
用 的 授权 模式 为 缺 省 配置 ,但 使 能 按 命 令 行 授权 功能 
的 授权 方案 被 域 引 用 后 ， 如果 执 行 undo 
authorization-cmd 命令 ， 将 导致 该 域 相 应 级 别 的 在 
线 用 户 无 法 执行 任何 命令 (quit 命令 除外 )， 此 时 用 
户 需 要 重新 登录 


退出 授权 方案 视图 ， 返 回 AAA 视图 





quit 
例如 : [HUAWEI-aaa] quit 


aaa-author-bypass enable time 
time-value 

例如 : [HUAWEI] 
aaa-author-bypass enable time 2 


aaa-author-cmd-bypass enable 
time time-value 

例如 : [HUAWEJD] 
aaa-author-cmd-bypass enable 
time 2 


退出 AAA 视图 ， 返 回 系统 视图 


(可 选 ) 配置 授权 旁 路 时 间 ， 取 值 范围 为 1 一 1 440 整数 分 钟 
【说 明 】〗 使 能 此 功能 后 ， 如 果 远 端 授权 无 响应 ， 则 在 配置 的 旁 
路 时 间 内 直接 跳 过 无 响应 的 远 端 授权 , 直接 跳 转 到 第 12 步 所 配 
置 的 下 一 个 授权 模式 ， 如 果 未 配置 下 一 个 授权 模式 ， 则 按 失 败 


处 理 

缺 省 情况 下 ， 未 配置 授权 旁 路 时 间 ， 可 用 undo 
aaa-author-bypass enable 命令 取消 配置 授权 旁 路 时 间 
(可 选 ) 配置 命令 行 授权 旁 路 时 间 , 取 值 范围 为 1 一 1 440 
整数 分 钟 

【说 明 】〗 使 能 此 功能 后 ,如 果 远 瑞 命令 行 授权 无 响应 ， 则 
在 配置 的 旁 路 时 间 内 直接 跳 过 无 响应 的 远 瑞 命令 行 授 
权 , 直接 跳 转 到 第 13 步 所 配置 的 下 一 个 命令 行 授权 模式 ， 
如 果 未 配置 下 一 个 命令 行 授权 模式 ， 唱 按 失 败 处 理 

缺 省 情况 下 ， 未 配置 命令 行 授权 旁 路 时 间 ， 可 用 undo aaa- 
author-cmd-bypass enable 命令 取消 配置 命令 行 授 权 旁 路 时 
间 











aaa 

例如 : [HUAWEI] aaa 
accounting-scheme accounring- 
Scheme-name 

例如 : [HUAWEI-aaa] 
accounting-scheme scheme2 


accounting-mode hwtacacs 
例如 : [HUAWEI-aaa-accounting- 
scheme2] accounting-mode 
hwtacacs 


accounting start-fail 

{ online | offline } 

例如 : [HUAWEI-aaa-accounting- 
scheme2]accounting start-fail 


accounting realtime interval 
例如 : [HUAWEI-aaa-accounting- 
scheme2]accounting realtime 60 





置 AAA 计 费 方案 





进入 AAA 视图 


创建 一 个 计 费 方案 , 并 进入 计 费 方案 视图 或 直接 进入 一 
个 已 存在 的 计 费 方案 视图 。 其 他 说 明 参 见 表 17-6 中 的 
第 8 步 


配置 计 费 模式 为 hwtacacs。 用 户 上 线 时 ， 经 过 认证 和 授 
权 ， 计 费 开始 : 用 户 下 线 时 ， 计 费 结 束 。 担 当 AAA 客 
户 端 的 接 入 设备 将 计 费 报 文 上 送 给 计 费 服务 器 ， 其 中 计 
费 报 文中 记录 了 用 户 在 线 的 时 间 

缺 省 情况 下 , 计 费 模式 采用 不 计 费 模式 none, 可 用 undo 
accounting-mode 命令 恢复 当前 计 费 方案 使 用 的 计 费 模 
式 为 缺 省 的 不 计 旨 模式 


(可 选 ) 配置 开始 计 费 失败 策略 。 其 他 说 明 参 见 表 17-6 
中 的 第 10 步 





(可 选 ) 使 能 实时 计 费 ， 并 设置 实时 计 费 时 间 间 隔 。 其 
他 说 明 参 见 表 17-6 中 的 第 11 步 








accounting interim-fail 

[ max-times times ] { online | offline } 
例如 : [HUAWEI-aaa-accounting- 
scheme2] accounting interim-fail 


(可 选 ) 配置 允许 的 实时 计 费 请 求 最 大 无 响应 次 数 ， 以 
及 实时 计 费 失败 后 采取 的 策略 。 其 他 说 明 参 见 表 17-6 
中 的 第 12 步 





max-times 5 online 


17.4.2 配置 HWTACACS 服 务 器 模板 








与 17.3.2 节 介绍 的 RADIUS 服务 器 模板 配置 一 样 ， 配 置 HWTACACS 服 务 器 模板 中 的 关键 步骤 也 是 指定 
服务 器 的 耳 地 址 和 端口 号 、HWTACACS 共 享 密 钥 。 其 他 的 步骤 如 配置 HWTACACS 用 户 名 格式 、 流 量 单位 
等 都 有 缺 省 配置 ， 用 户 可 以 根据 实际 需要 进行 修改 。 











HWTACACS 服 务 器 模板 下 配置 的 HWTACACS 用 户 名 格式 、HWTACACS 共 享 密 钥 等 要 与 HWTACACS 
服务 器 上 的 对 应 配置 一 臻 。HWTACACS 服 务 器 模板 的 具体 配置 步 又 如 表 17-9 所 示 。 





表 17-9 HWTACACS 服 务 器 模板 的 配置 步 又 


system-view 
例如 : <HUAWEI> system-view 






进入 系统 视图 





hwtacacs enable 
例如 : [HUAWEI] hwtacacs enable 


(可 选 ) 使 能 HWTACACS 功能 。 但 如 果 有 用 户 正在 进行 
HWTACACS 认证 或 授权 ， 或 在 线 的 用 户 使 用 
HWTACACS 计 费 ， 该 命令 执行 不 成 功 
缺 省 情况 下 ， 已 使 能 HWTACACS 功能 ， 可 用 undo 
hwtacacs enable 命令 去 使 能 HWTACACS 功能 








hwtacacs-server template 
template-name 

例如 : [HUAWEI] hwtacacs-server 
template template1 


创建 HWTACACS 服务 器 模板 ， 并 进入 HWTACACS 服 
务 器 模板 视图 。 人 参数 template-name 用 来 指定 要 进入 的 
HWTACACS 服务 器 模板 名 称 , 为 1 一 32 个 字符 , 不 支持 
空格 ， 区 分 大 小 写 ， 可 以 是 英文 字母 、 数 字 、 连 字符 “-” 
或 下 划 线 的 组 合 。 不 同系 列 允 许 创建 的 HWTACACS 服 
务 器 模板 数 不 一 样 ， 具 体 参见 相应 产品 文档 说 明 

缺 省 情况 下 ， 设 备 上 没有 HWTACACS 服务 器 模板 ， 可 
用 undo hwtacacs-server template template-name 命令 删 


除 指定 的 HWTACACS 服务 器 模板 








hwtacacs-server authentication 
ip-address [ port ] [ public-net | 
vpnr-instance wpn-instance-name ] 
例如 : [HUAWEI-hwtacacs- 
templatel lhwtacacs-server 
authentication 10.163.155.13 
vpn-instance vpna 





配置 HWTACACS 主 用 认证 服务 器 ,命令 中 的 参数 说 明 如 下 。 
(1) zp-adcdess [port ]: 指定 HWTACACS 认证 服务 器 的 
IP 地 址 和 端口 号 ， 端 口号 的 取 值 范围 为 1 一 65 535 的 整数 
(2 ) public-net: 二 选 一 选项 ， 指 定 在 公 网 中 连接 
HWTACACS 认证 服务 器 

(3 ) vpn-instance-name: 二 选 一 参数 ,指定 要 绑 定 的 VPN 
实例 名 称 

缺 省 情况 下 ，HWTACACS 主 用 认证 服务 器 的 IP 地 址 为 
0.0.0.0， 端 口号 为 0， 不 绑 定 VPN 实例 ， 可 用 undo 
hwtacacs-server authentication ip-address [ port ] [public-net| 
vpn-instance vpn-instance-name] 命令 删除 指定 的 
HWTACACS 主 用 认证 服务 器 配置 














( 续 表 ) 


hwtacacs-server authentication 
ip-address [ port ] [ public-net | 
vpn-instance ypn-instance-name | 
secondary 

例如 : [HUAWEI-hwtacacs- 
template1] hwtacacs-server 
authentication 10.163.155.14 
vpn-instance vpna secondary 


hwtacacs-server authorization 
ip-address [ port ] [ public-net | 
Winstance-name ] 
例如 : [HUAWEI-hwtacacs- 
templatel jhwtacacs-server 
authorization 10.163.155.13 
vpn-instance vpna 


hwtacacs-server authorization 
ip-address [ port ] [ public-net | 
vpnr-instance yprr-instance-name ] 


secondary 

例如 : [HUAWEI-hwtacacs- 
templatel jhwtacacs-server 
authorization 10.163.155.14 
vpnr-instance vpna secondary 


hwtacacs-server accounting 
ip-uddress [ port | [ public-net | 
vpurinstance vprn-instance-name ] 
例如 : [HUAWEI-hwtacacs- 
template1jhwtacacs-Seryer 
accounting 10.163.155.13 49 
vpn-instance vpna 


hwtacacs-server accounting 
ip-address [ po | [ public-net | 
vpnr-instance vypr-instance-name ] 
secondary 

例如 : [HUAWEI-hwtacacs- 
templatel jhwtacacs-server 
accounting 10.163.155.14 49 
vpn-instance vpna secondary 


(可 选 ) 配 贤 WTACACS 备用 认证 服务 器 。 其 他 说 明 参 
见 上 一 步 主 HWTACACS 认证 服务 器 配置 

缺 省 情况 下 ，HWTACACS 备用 认证 服务 器 的 IP 地 址 为 
0.0.0.0， 端 口号 为 0， 不 绑 定 VPN 实例 ， 可 用 undo 
hwtacacs-server authentication ip-address [por ] [ public-net | 
vpn-instance yprn-instance-name ] secondary 命令 测 除 指 
定 的 HWTACACS 备用 认证 服务 器 配置 


配置 HWTACACS 主 用 授权 服务 器 ， 命 令 中 的 参数 与 前 
面 第 4 步 中 HWTACACS 主 用 认证 服务 器 中 的 对 应 参数 
' 样 ， 只 不 过 这 里 指定 的 HWTACACS 主 用 授权 服务 器 
中 的 对 应 参数 值 ， 参 见 即 可 
通常 HWTACACS 主 用 授权 服务 器 与 HWTACACS 主 用 
认证 服务 器 是 在 同一 台 主机 上 ， 所 以 两 者 的 IP 地 址 通常 
是 一 样 的 ， 端 口号 也 可 以 一 样 
缺 省 情况 下 ，HWTACAGCS 主 用 授权 服务 器 的 IP 地址 为 
0.0.0.0， 端 口号 为 0， 不 部 定 VPN 实例 ， 可 用 undo 
hwtacacs-server authorization ip-address [ port | [ public-net | 
vpn-instance tpn-instance-name] 命令 删除 指定 的 
HWTACACS 主 用 授权 服务 器 的 相关 配置 
(可 选 ) 配置 HWTACACS 备用 投 权 服务 器 。 命 令 中 的 参 
数 与 前 面 第 4 步 中 HWTACACS 主 用 认证 服务 器 中 的 对 
应 参数 一 样 ， 只 不 过 这 里 指定 的 HWTACACS 备用 授权 
服务 器 中 的 对 应 参数 值 ， 参 见 即 可 
通常 HWTACACS 备用 授权 服务 器 与 HWTACACS 备用 
认证 服务 器 是 在 同一 台 主机 上 ， 所 以 两 者 的 IP 地 址 通常 
是 一 样 的 ， 端 口号 也 可 以 一 样 
缺 省 情况 下 ，HWTACACS 备用 授权 服务 器 的 IP 地 址 为 
0.0.0.0， 端 口号 为 0， 不 兰 定 VPN 实例 ， 可 用 undo 
hwtacacs-server authorization ip-adidress [ port | [ public-net | 
vpn-instance wpn-instance-name ] secondary 命令 刷 除 指 
定 的 HWTACACS 备用 授权 服务 器 的 相关 配置 
配置 HWTACACS 王 用 计 费 服务 器 ,参数 同样 可 参见 前 面 
第 4 步 中 的 HWTACACS 主 用 认证 服务 器 中 的 对 应 参数 
通常 HWTACACS 主 用 计 费 服务 器 与 HWTACACS 主 用 
授权 、 计 费 服务 器 是 在 同一 台 主 机 上 ， 所 以 三 者 的 IP 地 
址 通常 是 一 样 的 ， 端 口号 也 可 以 一 样 
扇 省 情况 下 ，HWTACACS 主 用 计 费 服务 器 的 人 P 地 址 为 
0.0.0.0， 端 口号 为 0， 不 绑 定 VPN 实例 ， 可 用 undo 
hwtacacs-server accounting ip-address | port ] | public-net | 
vpn-instanee wpn-instance-name] 命令 出 除 指定 的 
HWTACACS 主 用 计 费 服务 器 的 相关 配置 
(可 选 ) 配置 HWTACACS 备用 计 费 服务 器 ， 佐 数 同样 可 参见 
前 而 第 4 步 中 的 HWTACACS 主 用 认证 服务 器 中 的 对 应 参数 
通常 HWTACACS 备用 计 费 服务 器 与 HWTACACS 备用 
授权 、 备 用 计 费 服务 器 是 在 同一 台 主机 上 ， 所 以 三 者 的 
IP 地 址 通常 是 一 样 的 ， 端 口号 也 可 以 一 样 
扇 省 情况 下 ，HWTACACS 备用 计 费 服务 器 的 IP 地 址 
为 0.0.0.0， 端 口号 为 0， 不 绑 定 VPN 实例 ， 可 用 undo 
hwtacacs-server accounting ip-address [ port ] [ public-net | 
vpn-instance vpn-instance-name ] secondary 命令 删除 
指定 的 HWTACACS 备用 计 费 服务 器 的 相关 配置 











hwtacacs-server source-ip 
ip-address 

例如 : [HUAWEI-hwtacacs- 
templatel jhwtacacs-server 
source-ip 10.1.1.1 


hwtacacs-server shared-key 
[ cipher | simple ] key-string 
例如 : [HUAWEI-hwtacacs- 
templatel] hwtacacs-server 

shared-key cipher hello 


hwtacacs-server user-name 
domain-included 

例如 : [HUAWEI-hwtacacs- 
templatel] hwtacacs-server 
user-name domain-included 


hwtacacs-server traffic-unit 

{ byte | kbyte | mbyte | gbyte } 
例如 : [HUAWEI-hwtacacs- 
templatel] hwtacacs-server 
traffic-unit mbyte 


hwtacacs-server timer 
response-timeout value 
例如 : [HUAWEI-hwtacacs- 
templatel] hwtacacs-server 
timer response-timeout 10 





(可 选 ) 配置 设备 向 HWTACACS 服务 器 发 送 
HWTACACS 报 文 的 源 IP 地 址 。 指定 HWTACACS 源 IP 
地 址 后 ， 设 备 使 用 该 HWTACACS 服务 器 模板 与 服务 器 
通信 时 ， 报 文 的 源 IP 地 址 为 指定 的 耳 地 址 

缺 省 情况 下 ，HWTACACS 的 源 IP 地 址 是 0.0.0.0， 此 时 
设备 使 用 实际 出 方向 的 接口 的 四 地 址 作为 HWTACACS 
报 文 的 源 趾 地 址 ， 可 用 undo hwtacacs-server source-ip 
命令 将 设备 向 HWTACACS 服务 器 发 送 HWTACACS 报 
文 的 源 IP 地 址 恢复 为 缺 省 值 

(可 选 ) 配置 担当 AAA 客户 端的 本 地 接 入 设备 与 
HWTACACS 服务 器 通信 的 共享 密 铀 ,命令 中 的 参数 和 选 
项 说 明 如 下 ， 

(1) cipher: 二 选 一 选项 ， 指 定 以 密 文 形式 显示 用 户口 令 
(2) simple: 二 选 一 选项 ， 指 定 以 明文 形式 显示 用 户口 令 
(3) key-string: 可 多 选 参数 ， 指 定 与 RADIUS 认证 服务 
器 通信 的 共享 密 钥 ， 如 果 选 择 simple 选项 ， 则 必须 是 明 
文 密码 ， 为 1 一 255 位 字符 出 ; 如 果 选 掺 cipher 选项 ， 则 
统 可 以 是 1 一 255 位 明文 密码 ， 也 可 以 为 20 一 392 位 密 文 
密码 。 如 果 配 置 密 钥 时 不 带 simple 或 cipher 关键 字 ， 则 
按 密 文 形式 处 理 

缺 省 情况 下 ， 没 有 配置 HWTACACS 服务 器 共享 窗 乌 ， 
可 用 undo hwtacacs-server shared-key 命令 删除 配置 的 
HWTACACS 服务 器 共享 密 钥 


(可 选 ) 配置 设备 向 HWTACACS 服务 器 发 送 的 报 文 中 的 
用 户 名 包含 域名 。 其 他 说 明 参 见 表 17-7 中 的 第 9 步 
缺 省 情况 下 , HWTACACS 用 户 名 中 包含 域名 , 即 设备 会 
把 用 户 名 和 域名 及 域名 分 隔 符 一 起 发 送 给 HWTACACS 
服务 器 进行 认证 。 如 果 HWTACACS 服务 器 不 接受 带 域 
名 的 用 户 名 ， 可 以 执行 命令 undo hwtacacs-server 
user-name domain-included， 设 备 会 将 用 户 名 中 的 域名 
去 掉 ， 青 发 送 给 HWTACACS 服务 器 


(可 选 ) 配 置 HWTACACS 流 量 单位 ,其 他 说 明 参 见 表 17-7 
中 的 第 10 步 

不 同 的 HWTACACS 服务 器 使 用 的 流量 单位 可 能 不 同 ， 
因此 需要 在 设备 上 针对 得 一 个 HWTACACS 服务 器 组 设 
管 流量 单位 ， 和 HWTACACS 服务 器 保持 一 致 。 但 只 有 
当 该 HWTACACS 服务 器 模板 没有 用 户 使 用 时 ， 才 能 改 
变 流量 单位 的 配置 

缺 省 情况 下 ,设备 以 字 节 (byte) 作为 HWTACACS 流量 
单位 , 可 用 undo hwtacacs-server traffic-unit 命 今 刷 除 配 
慎 的 HWTACACS 流量 单位 

(可 选 ) 配置 HWTACACS 服务 器 应 答 超时 时 间 ， 取 值 范 
围 是 1 一 300 的 整数 秒 。 配 置 超时 时 间 后 ， 设 备 向 
HWTACACS 服务 器 发 出 请 求 报 文 后 , 如 果 在 规定 的 时 间 
内 未 得 到 HWTACACS 服务 器 发 回 的 应 答 ， 需 要 设备 重 
传 请 求 报 文 ， 这 样 就 提高 了 HWTACACS 认证 、 授 权 、 
计 费 过 程 的 可 靠 性 

缺 省 情况 下 ,HWTACACS 应 答 超时 时 间 为 $s, 可 用 undo 
hwtacacs-server timer 命令 将 HWTACACS 
应 答 超时 时 间 恢 复 为 缺 省 值 





【示例 】 


过 HWTACACS 认 证 


hwtacacs-server timer quiet 
value 

例如 : [HUAWEI-hwtacacs- 
templatel] hwtacacs-server timer 
quiet 10 


quit 
例如 : [HUAWEI-hwtacacs- 
template1] quit 


hwtacacs-server 
accounting-stop-packet resend 
{ disable | enable numper } 


例 如 
[HUAWEI]hwtacacs-server 
accounting-stop-packet resend 
enable 50 


return 


例如 : [HUAWEI] return 


hwtacacs-user change-password 
hwtacacs-server template-name 
例如 : <HUAWEI> hwtacacs-user 
change-password 
hwtacacs-server templatel 




















(可 选 ) 配置 用 邮 务 办 少 复 激活 状态 的 葡 趴 时 间 ， 取 值 

范围 为 1 一 255 的 整 

【说 明 】 如 朋 莉 四 器 务 蝇 丰 要 月 ， 设备 会 自动 切换 至 备 且 

服务 器 ， 问 备用 服务 人 到 不 主 用 服务 器 恢复 ; 

活 状 态 的 时 间 后 ， 向 属 竺 该 上 用 服务 器 建立 连接 ， 

人 多 时 服务 吕 人 继续 向 备用 服务 器 发 
入 的 时 间 峡 次 尝试 与 主 用 

茂 提 划 直 E 接 ， 


(2) 如 果 主 ee 用 服务 器 ， 向 主 
用 服务 器 发 送 报 文 

通过 设置 于 用 服务 器 恢复 激活 状态 的 葬 默 时 间 , 既 保 证 能 
够 主 用 服务 器 尽快 恢复 激活 状态 ， 又 减少 了 服务 器 切换 时 
的 探测 次 数 

缺 省 情况 下 ， 主 用 服务 器 恢复 激活 状态 前 需要 等 待 Smin， 
可 用 undo hwtacacs-server timer quiet 命令 恢复 主 用 服务 
器 恢复 激活 状态 的 静默 时 间 缺 省 值 


退出 HWTACACS 服务 器 模板 视图 ， 返 回 系 统 视图 


(可 选 ) 配置 是 耕 多 许 重 发 计 费 停止 报 文 ， 以 及 可 重 发 的 
计 费 停止 报 文 个 数 。 命 令 中 的 参数 和 选项 说 明 如 下 。 
(1) disable: 二 选 一 选项 ， 指 定 禁止 重 发 计 费 停止 报 文 ， 即 
计 费 停止 报 文 只 发 送 一 次 ， 即 使 失败 了 也 不 会 鼻 发 

(2) enable number; 二 选 一 参数 ， 指 定 使 能 重 发 计 费 停 让 
报 文 ， 并 配置 重 发 的 计 费 停止 报 文 个 数 ， 取 值 范 围 为 1 一 
300 的 整数 。 如果 计 费 停止 报 文 发 送 后 ， 收 不 到 回应 或 者 
回应 失败 ， 会 重新 发 送 计 费 停止 报 文 

缺 省 情况 下 ， 设 备 启用 计 费 结束 报 文 的 重 传 功 能 ， 报 文 的 
重 传 次 数 为 100 ， 可 用 undo hwtacacs-server 
accounting-stop-packet resend 命令 恢复 计 费 停止 报 文 重 
发 功能 与 计 费 停止 报 文 个 数 为 缺 省 情况 


返回 用 户 视图 


(可 选 ) 在 设备 上 修改 用 户 在 HWTACACS 服务 器 上 保存 
的 用 户 密码 。 参 数 template-name 用 来 指定 要 修改 用 户 密 
码 的 HWTACACS 模板 名 称 

键入 本 命令 后 ， 系 统 会 给 出 一 个 修改 用 户 密码 的 提示 ， 系 
总 30s， 用 户 未 输入 用 户 名 或 新 密码 、 确 认 密 码 


注意 】 只 有 在 HWTACACS 服务 器 上 保存 的 用 户 名 和 密码 
没有 过 期 的 情况 下 , 才 允 许 用 户主 动 使 用 该 命令 修改 密码 ; 
对 于 密码 已 经 过 期 的 用 户 ， 登 录 设备 时 ，HWTACACS 服 
务 器 将 返回 认证 不 成 功 ， 不 允许 用 户主 动 更 改 密码 。 系 统 
允许 HWTACACS 用 户 修改 其 他 人 的 密码 ， 当 被 修改 人 的 
权限 高 于 用 户 本 人 的 权限 时 ， 系 统 允许 用 户 使 用 super 命 
令 提 升 用 户 自 身 级 别 后 ， 再 使 用 该 命令 修改 他 人 密码 

用 户 可 以 输入 CtrltC 取消 本 次 密码 修改 


FE 的 用 户主 动 修改 名 为 huaweiH 的 WTACACS 服 务 器 模板 中 cj@shy 月 


<HUAWEI> hwtacacs-user change-password hwtacacs-server huawei 


Info: EXEC is in an interactive process, please wait. . 


Username:cj@Sshy 
Old Password: 


New Password: 


Re-enter New password: 


Info: The password has been changed successfully. 


17.4.3 HWTACACS 方 式 认证 、 





授权 和 计 费 配置 示例 











本 示例 拓扑 


HWTACACS 主 用 服务 器 为 129.7.66.66/24， 备 月 
具体 用 户 要 求 如 下 。 


均 为 49。 








结构 参见 17.3.4 节 的 图 17-4。 本 示例 要 求 采用 HWTACACS 认 证 、 授 权 和 计 费 方案 ， 
日 服务 器 为 129.7.66.67/24， 服 务 器 的 认证 、 授 权 和 计 费 端 








有 户 的 








Ll 
dt 


没有 








(1) SwitchB 对 ] 
(2) 接 入 的 用 / 
9 响应， 再 使 用 本 地 认证 





















































接 入 用 户 先 用 HWTACACS 服 务 器 进行 认证 ， 如 果 认 证 没有 响应 ， 再 使 用 本 地 认 












































有 特 


[HUAWEI-aaa] authentication-scheme 1-h”#--- 配 置 认证 方案 I-h 

[HUAWEI-aaa-authen-l-h] authentication-mode hwtacacs local #--- 配 置 认 证 模式 为 先进 行 HWTAC 
证 ， 后 进行 本 地 认证 

[HUAWEI-aaa-authen-]-h] authentication-super hwtacacs super #--- 配 置 用 户 级 别提 升 认证 模式 为 先 
HWTACACS 认 证 ， 后 进行 本 地 认证 


(3) SwitchB 对 ] 
(4) SwitchB 对 ] 
(5) 对 上 


1. 





























! 进 行 用 户 等 级 提升 时 ， 要 求 先 使 用 HWTACACS 对 其 进行 认证 ， 如 果 HWTACA 





















































接 入 用 户 先 用 HWTACACS 服 务 器 进行 授权 ， 如 果 授 权 没 有 响应 ， 再 使 用 本 地 授 









































接 入 用 户 采 用 HWTACACS 计 费 。 


























基本 配置 思路 





























j 户 进行 实时 计 费 ， 计 费 间 隔 为 3min。 












































证 。 


CS 认证 


权 。 





根据 图 17-3《〈c) 所 示 的 配置 流程 及 本 示例 的 具体 要 求 ， 可 得 出 如 下 基本 配置 思路 《同样 因为 示例 中 没 





定 上 
(1 


(2) 










































































的 业务 方案 要 求 ， 所 以 可 不 配置 业务 方案 ， 直 接 采 用 缺 省 配置 即 可 ) 。 


























) 配置 AAA 方案 ， 包 括 HWTACACS 认 证 方案 、 授 权 方 案 和 计 费 方案 。 









































配置 HWTACACS 服 务 器 模板 。 








(3) 在 huawei 域 下 应 用 HWTACACS 服 务 器 模板 、 认 证 方案 、 授 权 方案 和 计 费 方案 。 
以 下 配置 均 在 SwitchB 上 进行 。 


2. 
(1 











具体 配置 步骤 


一 















































) 配置 AAA 认证 方案 、 授 权 方 案 、 计 费 方案 。 
[HUAWEI] aaa 





































































































ACS 认 





















































[HUAWEI-aaa-authen-l]-h] quit 


[HU 
[HU 
HWTAC 
[HU 
[HU 





AWEI-aaa] authorization-scheme hwtacacs #--- 配 置 授 权 方 案 hwtacacs 
AWEI-aaa-author-hwtacacs] authorization-mode hwtacacs local #--- 配 置 授 权 模 式 为 先进 行 
ACS 授 权 ， 后 进行 本 地 授权 

AWEI-aaa-author-hwtacacs] quit 

AWEI-aaa] accounting-scheme hwtacacs #--- 配 置 计 费 方案 hwtacacs 













































































[HUAWEI-aaa-accounting-hwtacacs] accounting-mode hwtacacs #--- 配 置 计 费 模式 为 HWTACACS 


[HU 


























AWEI-aaa-accounting-hwtacacs] accounting start-fail online #-- 配 置 如 果 开 始 计 费 失败 ， 人 允许 











[HUAWEI-aaa-accounting-hwtacacs] accounting realtime3 #--- 配 置 实时 计 费 间隔 为 3min 


[HU 


(2 


[HU 
[HU 


[HU 
































器 的 下地 址 和 端口 
[HUAWEI-hwtacacs-ht] hwtacacs-server accounting 129.7.66.66 49 ”#--- 配 置 HWTACACS 主 用 计 费 服务 器 
的 IP 地 址 和 端口 











AWEI-hwtacacs-ht] hwtacacs-server authentication 129.7.66.66 49 #--- 配 置 HWTACACS 主 
器 的 IP 地 址 和 端口 
AWEI-hwtacacs-ht] hwtacacs-server authorization129.7.66.66 49 ”#--- 配 置 HWTACACS 主 用 授权 服务 














AWEI-aaa-accounting-hwtacacs] guit 
) 配置 HWTACACS 服 务 器 模板 。 
AWEI] hwtacacs-server template ht #--- 配 置 HWTACACS 服 务 器 模板 ht 


























用 户 上 
























































认证 服务 





[HUAWEI-hwtacacs-ht] hwtacacs-server authentication 129.7.66.67 49secondary #-- 配 置 HWTACACS 备 
认证 服务 器 的 IP 地 址 和 端口 
[HUAWEI-hwtacacs-ht] hwtacacs-server authorization 129.7.66.67 49secondary #--- 配 置 HWTACACS 备 用 
授权 服务 器 的 耳 地 址 和 端口 
[HUAWEI-hwtacacs-ht] hwtacacs-server accounting 129.7.66.67 49secondary #-- 配 置 HWTACACS 备 用 计 
费 服务 器 的 卫 地 址 和 端 
[HUAWEI-hwtacacs-ht] hwtacacs-server shared-key cipherhello #--- 配 置 TACACS 服 务 器 共享 密 钥 
[HUAWEI-hwtacacs-ht] quit 
(3) 配置 huawei 域 ， 并 在 huawei 域 下 应 用 前 面 配置 的 HWTACACS 认 证 方案 、 授 权 方 案 、 计 费 方案 和 
HWTACACS 服 务 器 模板 。 
[HUAWEI-aaal] domain huawei 


[HUAWEI-aaa-domain-huaweil] authentication-scheme ]-h 
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[HUAWEI-aaa-domain-huawei] authorization-scheme hwtacacs 

[HUAWEI-aaa-domain-huawei] accounting-scheme hwtacacs 

[HUAWEI-aaa-domain-huaweil] hwtacacs-serverht 

[HUAWEI-aaa-domain-huawei] quit 

[HUAWEI-aaa] quit 

[HUAWEI] quit 

配置 好 后 ， 在 SwitchB 上 执行 display hwtacacs-server template 命 令 可 以 查看 到 该 HWTACACS 服 务 器 模 
板 的 配置 与 上 面 的 配置 是 一 致 的 。 有 具体 如 下 。 

<HUAWEI>display hwtacacs-server template ht 



















































































HWTACACS-server template name :ht 


Primary-authentication-server : 129.7.66.66:49:- 
Primary-authorization-server : 129.7.66.66:49:- 
Primary-accounting-server : 129.7.66.66:49:- 
Secondary-authentication-server : 129.7.66.67:49:- 
Secondary-authorization-server : 129.7.66.67:49:- 
Secondary-accounting-server : 129.7.66.67:49:- 
Current-authentication-server : 129.7.66.66:49:- 
Current-authorization-server : 129.7.66.66:49:- 
Current-accounting-server : 129.7.66.66:49:- 
Source-IP-address : 0.0.0.0 
Shared-key ， 米 米 炒米 炒米 炒米 米 炒米 米 米 米 米 米 
Quiet-interval(min) 3 
Response-timeout-Interval(sec) :5 
Domain-included :Yes 

Traffic-unit :B 


同时 可 在 SwitchB 上 执行 display domain 命 令 查 看 到 该 域 的 配置 ， 具 体 如 下 。 















































<HUAWEI> display domain name huawei 
Domain-name : huawei 
Domain-state : Active 
Authentication-scheme-name :1-h 
Accounting-scheme-name : hwtacacs 
Authorization-scheme-name :hwtacacs 
Service-scheme-name : - 
RADIUS-server-template : - 
HWTACACS-server-template :ht 


User-group : - 

















17.5 AAA 认证 、 授 权 和 计 费 配置 管理 






































全 面 按照 图 17-3 的 流程 配置 好 各 种 认证 、 授 权 和 计 费 方案 后 ， 可 以 使 用 以 下 display 任 意 视图 命令 查看 相 
关 配 置 ， 使 用 以 下 reset 用 户 视图 命令 清除 相关 统计 信息 。 

(1) display aaa configuration: 查看 AAA 的 摘要 配置 信息 。 

(2) display local-user: 查看 本 地 用 户 的 摘要 信息 。 

(3) display domain [name domain-name ] : 查看 所 有 或 者 指定 域 的 配置 信息 。 
(4) display authentication-scheme [authentication-scheme-name ] : 查看 所 有 或 者 指定 认证 方案 的 配置 信 
































































































































(5) display authorization-scheme [authorization-scheme-name ] : 查看 所 有 或 者 指定 授权 方案 的 配置 信 








(6) display accounting-scheme [accounting-scheme-name ] : 查看 计 费 方案 的 配置 信息 。 
(7) display service-scheme [name name ] : 查看 业务 方案 的 配置 信息 。 


(8) display access-user [domaindomain-name | interface interface-type interface-number [vlanvlan-id 



































[qinqqinq-vlan-id ] ] lip-address ip-address [vpn-instancevpn-instance-name | |mac-addressmac-address | Slot slot-id 
| open luser-iduser-number ] : 查看 符合 对 应 条 件 的 所 有 在 线 用 户 的 摘要 信息 。 
(9) display radius-server configuration [ template template-name ] : 查看 RADIUS 服务 器 模板 的 配置 信 













































































(10) display radius-attribute [ template template-name ] disable: 查看 设备 所 有 或 者 指定 模板 中 禁用 的 
RADIUS 属性 。 

(11) display radius-attribute [ template template-name ] translate: 查看 设备 所 有 或 者 指定 模板 中 RADIUS 
属性 转换 的 配置 信息 。 

(12) display radius-server accounting-stop-packet { all | ip ip-address }: 查看 甩 有 或 者 指定 IP 地 址 的 
RADIUS 服 务 器 的 计 费 停止 报 文 信息 。 

(13) display hwtacacs-server template [ template-name ] : 查看 设备 所 有 或 者 指定 模板 中 HWTACACS 服 
务 器 模板 的 配置 信息 。 

(14) display hwtacacs-server accounting-stop-packet { all | number | ip ip-address }: 查看 设备 所 有 或 者 指 
定 卫 地 址 的 HWTACACS 服 务 器 的 计 费 停止 报 文 信息 。 

(15) reset aaa {offline-record | abnormal-offline-record | online-fail-record }: 清除 用 户 下 线 、 异 常 下 线 、 

















































































































上 线 失 败 的 记录 信息 。 
(16) reset hwtacacs-server statistics {all |accounting |authentication |authorization }: 清除 HWTACACS 的 
统计 信息 。 
(17) reset hwtacacs-server accounting-stop-packet { all | ip ip-address }: 清除 设备 所 有 或 者 指定 IP 地 址 的 
HWTACACS 服 务 器 的 计 费 停止 报 文 统计 信息 。 
(18) reset radius-server accounting-stop-packet { all | ip ip-address }: 清除 设备 所 有 或 者 指定 IP 地 址 的 
RADIUS 服 务 器 的 计 费 停止 报 文 统计 信息 。 






























































第 18 章 NAC 配 置 与 管理 














18.1 NAC 基 础 

18.2 802.1x 认 证 配置 与 管理 
18.3 MAC 认 证 配置 与 管理 
18.4 Portal 认 证 配置 与 管理 
在 计算 机 网 络 安全 管理 中 ， 用 户 的 网 络 接 入 控制 (NAC) 是 必须 充分 考虑 的 一 件 大 事 ， 因 为 现在 的 网 
络 安 全 隐患 主要 不 是 来 自 外 网 ， 而 是 内 网 。 而 在 用 户 接 入 控制 方面 ， 最 直接 、 最 有 效 的 方法 就 是 基于 接 入 
设备 接口 的 各 种 用 户 认证 方法 ， 如 本 章 将 要 介绍 的 华为 S 系 列 交 换 机 的 802.1x 认 证 、MAC 认 证 和 Portal 认 
证 。 它 们 针对 不 同 的 用 户 需求 和 实际 的 网 络 环境 提供 的 几 种 基于 端口 的 实用 接 入 控制 方案 。 相 对 第 17 章 介 
绍 的 各 种 AAA 方案 来 说 ， 此 处 基于 接口 的 接 入 控制 方法 更 为 直接 ， 直 接 在 接 入 处 进行 认证 ， 但 同时 又 不 如 
AAA 方案 灵活 ， 因 为 在 本 章 所 介绍 的 这 三 种 认证 方式 仅 是 简单 的 允许 或 者 拒绝 接 入 认证 ， 没 有 像 AAA 方 案 
中 的 为 允许 接 入 的 用 户 授予 相应 的 访问 权限 ， 更 没有 为 不 同 用 户 进行 计 费 的 功能 。 

本 章 将 首先 介绍 802.1x 认 证 、MAC 认 证 和 Portal 认 证 的 基本 工作 原理 和 基础 知识 ， 然 后 逐个 介绍 这 三 种 
认证 方案 的 各 项 配置 任务 的 具体 配置 方法 。 当 然 ， 在 其 中 介绍 的 这 么 多 功能 配置 中 ， 绝 大 多 部 分 是 需要 根 
据 实际 需要 和 网 络 环境 选择 配置 的 ， 不 必 全 部 同时 配置 ， 而 且 这 三 种 认证 中 也 有 许多 配置 任务 是 完全 或 部 
分 相同 的 。 但 要 注意 ， 在 学 习 本 章 内 容 之 前 ， 建 议 先 学 习 一 下 本 书 第 17 章 中 关于 AAA 网 络 访问 控制 策略 方 
下 的 基础 知识 和 配置 方法 ， 因 为 这 三 种 认证 中 所 使 用 的 用 户 账户 信息 都 是 在 AAA 方案 下 配置 的 《可 以 是 本 
地 配置 的 ， 也 可 以 是 在 远程 的 RADIUS 服务 器 上 配置 的 ) 。 









































































































































































































































































































































































































































18.1 NAC 基 础 














NAC (Network Admission Control， 网 络 许可 控制 ) 是 一 套 从 用 户 终端 角度 考虑 内 部 网 络 安全 的 “ 端 到 
端 ” 安 全 解决 方案 总 称 ， 也 就 是 针对 用 户 终 端的 接 入 进行 严格 控制 的 解决 方案 。 在 华为 系列 交换 机 中 NAC 
包括 802.1x 认 证 、MAC 认 证 与 Portal 认 证 ， 都 是 采用 图 18-1 所 示 的 认证 模型 。 它 包括 用 户 (User) 、 网 络 接 
入 设备 (NAD) 和 接 入 控制 服务 器 〈ACS) 三 大 部 分 。 
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图 18-1 NAC 认 证 模型 























(1) 用 户 : 指 接 入 用 户 终 端 ， 需 要 对 其 进行 接 入 认证 。 如 果 采 用 802.1x 认 证 ， 还 需要 在 用 户 终端 上 安 
装 802.1x 的 客户 端 软件 。 


























(2) NAD: 指 网 络 接 入 设备 〈 如 交换 机 ) ， 对 接 入 用 户 终端 进行 认证 和 授权 。 一 般 需 要 和 





























器 配合 使 用 (有关 AAA 的 配置 与 管理 
护 核心 资源 。 
(3) ACS: 指 接 入 控 币 


























参见 第 17 章 介绍 ) ， 























户 行为 管理 与 违规 审计 。 本 章 所 介绍 的 以 上 三 种 认证 方案 ! 














防止 非法 终端 接 入 ， 防 ) 














AAA 服 务 


合法 终端 越权 访问 ， 保 












































户 名 和 密码 ，MAC 认 证 中 的 用 户 MAC 地 址 等 ) 都 是 需要 在 接 入 控制 服务 器 中 事先 配置 好 的 。 华 


























换 机 都 可 以 配置 RADIUS 服务 器 《具体 参见 本 书 第 17 章 ) ，Windows 和 Linux 服 务 器 系统 等 也 可 以 配置 























RADIUS 服务 器 。 


18.1.1 802.1x 认 证 系统 基础 





























IEEE802.1x 是 由 IEEE 制 定 的 关于 








成 。 








802.1x 协 议 是 一 种 基于 端口 的 网 络 接 入 控制 协议 ， 所 以 具体 的 802.1x 认 证 功能 必须 在 设备 端口 上 进行 配 
置 ， 对 端口 上 接 入 的 用 户 设 备 通过 认证 来 控制 对 网 络 资源 的 访问 。802.1x 认 证 系统 采用 网 络 应 
























































I 服务 器 (如 RADIUS 服务 器 ) ， 主 要 进行 终端 安全 健康 性 检查 与 策略 管理 和 用 


的 认证 信息 〈 如 802.1x 认 证 和 Portal 认 证 中 的 用 





为 S 系 列 交 











用 户 接 入 网 络 的 认证 标准 ， 全 称 是 “基于 端口 的 网 络 接 入 控 
2001 年 正式 颁布 ， 最 初 是 为 有 线 网 络 设计 ， 之 后 为 了 配合 无 线 网 络 的 接 入 进行 修订 改版 ， 并 于 2 











制 *"。 它 于 
004 年 完 












































系统 典型 的 











Client/Server (C/S) 结构 ， 包 括 3 个 部 分 : 客户 端 〈Client) 、 设 备 端 (Device) 和 认证 服务 器 (Server) ， 
如 图 18-2 所 示 。 它 与 图 18-1 中 的 NAC 模 型 结构 一 一 对 应 。 
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RADIUS 1 


Client Device 


























Server 


图 18-2 802.1x 认 证 系统 结构 


(1) 客户 端 : 局 域 网 用 户 终 端 设备 ， 但 必须 是 支持 EAPOL (Extensible Authentication Protocol over 
LAN， 局 域 网 可 扩展 认证 协议 ) 的 设备 (如 PC 机 ) ， 可 通过 启动 客户 端 设备 上 安装 的 802.1x 客 户 端 软件 发 








起 802.1x 认 证 。 
(2) 设备 端 支持 802.1x 协议 








的 网 络 设备 《如 交换 书 



































供 接 入 局 域 网 的 端口 ， 可 以 是 物理 端 

















行 认 证 、 授 权 和 计 费 ， 通 常 为 RADIU 
1. 802.1x 认 证 受 控 / 非 受 控 端 口 

















看 成 为 EAP (可 扩展 认证 协议 ) 端口 








证 前 必需 的 EAPOL 协议 帧 ， 保 证 客户 端 始终 能 够 发 
“ 受 控 端 口 * 可 以 看 作为 普通 业务 端 






































口 ， 也 可 以 是 逻辑 端 





也 
(3) 认证 服务 器 : 为 设备 端 802.1x 协 议 提 供认 证 服务 的 设备 ， 是 真 J 


S 服 务 器 。 





口 〈 如 Eth-Trunk 口 ) 。 





i) ， 对 所 连接 的 客户 端 进行 认证 。 它 为 客户 端 提 














FE 进行 认证 的 设备 ， 实 现 对 用 户 进 
































在 设备 端 为 客户 端 提供 的 接 入 端口 被 划分 为 两 个 逻辑 端口 : 受 控 端口 和 非 受 控 端 口 。“ 非 受 控 端口 * 可 


， 不 进行 认证 控制 ， 始 终 处 于 双向 连通 状态 ， 主 要 用 来 传递 在 通过 认 











口 ， 是 需要 进行 认证 控 











8 或 接收 认证 报 文 。 
出 的 。 它 有 “授权 ?和 * 非 授权 ?两 种 状态 〈 相 当 


























于 在 该 端口 上 有 一 个 控制 开关 ) : 在 授权 状态 下 处 于 双向 连通 状态 《控制 开关 闭合 ) ， 可 进行 








报 文 传递 ; 在 非 授权 状态 下 处 于 打开 状态 〈 控 千 
cept 或 Reject) 来 实现 对 受 控 关 











服务 器 对 客户 端 进行 认证 的 结果 (Ac 
2. 802.1x 认 证 的 触发 方式 












































在 华为 $ 系 列 交换 机 中 ，802.1x 的 认证 过 程 可 以 由 客户 








上 开关 打开 ) ， 禁 止 任何 } 








E 常 的 业务 














此 务 报 文 的 传递 。 设 备 端 利用 认证 
口 的 授权 / 非 授 权 状 态 进 行 控制 。 








端 主动 发 起 ， 也 可 以 由 设备 端 主动 发 起 。 在 “客户 
端 主动 触发 方式 ”中 ， 由 客户 端 主 动向 设备 端 发 送 EAPOL-Start 〈EAPOL 开 始 ) 报 文 来 触发 认证 ， 而 “设备 



































端 主动 触发 方式 ”中 用 于 支持 不 能 主动 发 送 EAPOL-Start 报 文 的 客户 端 ， 例 如 Windows XP 自 带 的 802.1x 客 户 


端 。 















































在 “设备 端 主动 触发 方式 "中 又 有 两 种 以 下 有 具体 的 触发 方式 。 

(1) DHCP 报 文 触发 : 设备 在 收 到 用 户 的 DHCP 请 求 报 文 后 主动 触发 对 用 户 的 802.1x 认 证 ， 仅 适用 于 客 
户 端 采用 DHCP 方 式 自动 分 配 IP 地 址 的 情形 。 因 为 DHCP 请 求 报 文 是 以 广播 方式 发 送 的 ， 所 以 在 同一 网 段 
中 的 设备 都 可 以 收 到 ， 故 设备 端 不 一 定 就 是 担当 DHCP 服 务 器 的 设备 。 

(2) 源 MAC 地 址 未 知 报 文 触发 ， 当 设备 收 到 源 MAC 地 址 未 知 的 报 文 时 主动 触发 对 用 户 的 802.1x 认 
证 。 若 设备 端 在 设置 的 时 长 内 没有 收 到 客户 端的 响应 ， 则 重 发 该 报 文 。 

3. 802.1x 的 认证 方式 

无 论 是 哪 种 触发 方式 ，802.1x 认 证 系统 都 是 使 用 EAP 协 议 来 实现 客户 端 、 设 备 端 和 认证 服务 器 之 间 认证 
信息 的 交换 。 在 客户 端 与 设备 端 之 间 使 用 的 是 基于 以 太 局 域 网 的 EAPOL 格 式 封装 EAP 报 文 ， 然 后 承载 于 以 
太 网 数据 帧 中 进行 交互 ;而 设备 端 与 RADIUS 服务 器 之 间 的 EAP 报 文 可 以 使 用 以 下 两 种 方式 进行 交互 。 

(1) EAP 中 继 : 来 自 客户 端的 EAP 报 文 到 达 设 备 端 后 ， 直 接 使 用 EAPOR (EAP over RADIUS ) 格式 封 
装 在 RADIUS 报 文中 ， 再 发 送 给 RADIUS 服 务 器 ， 则 RADIUS 服 务 器 从 封装 的 EAP 报 文中 获取 客户 端 认证 信 
息 ， 然 后 对 客户 端 进行 认证 。 
这 种 认证 方式 的 优点 是 设备 端的 工作 很 简单 ， 不 需要 对 来 自 客户 端的 EAP 报 文 进行 任何 处 理 ， 只 需要 
jEAPOR 对 EAP 报 文 进行 封装 即 可 ， 根 本 不 管 客户 端的 认证 信息 。 同 时 在 这 种 认证 方式 中 ， 设 备 端 与 
RADIUS 服务 器 之 间 可 支持 多 种 EAP 认证 方法 ， 例 如 MD5-Challenge、EAP-TLS、PEAP 等 ， 但 要 求 服 务 器 
端 也 支持 相应 的 认证 方法 。 
(2) EAP 终 结 : 来 自 客户 端的 EAP 报 文 在 设备 端 进行 终结 ， 然 后 由 设备 端 将 从 EAP 报 文中 提取 的 客户 
端 认证 信息 封装 在 标准 的 RADIUS 报 文 〈 不 再 是 EAPOR 格 式 ) 中 ， 与 RADIUS 服务 器 之 间 采 用 
PAP 〈Password Authentication Protocol， 密 码 验 证 协议 ) 或 CHAP (Challenge Handshake Authentication 
Protocal， 质 询 握手 验证 协议 ) 方式 对 客户 端 进行 认证 (当然 在 RAIUDS 服 务 器 端 必 须 配 置 合 法 用 户 的 用 户 
名 和 密码 信息 ) 。 

这 种 认证 方式 的 优点 是 现 有 的 RADIUS 服务 器 基本 均 可 支持 PAP 和 CHAP 认 证 ， 无 需 升级 服务 器 ， 但 设 
备 端的 工作 比较 繁重 ， 因 为 在 这 种 认证 方式 中 ， 设 备 端 不 仅 要 从 来 自 客 户 端的 EAP 报 文中 提取 客户 端 认证 
信息 ， 还 要 通过 标准 的 RAIUDS 协议 对 这 些 信 息 进 行 封 装 ， 且 不 能 支持 除 MD5-Challenge 之 外 的 其 他 EAP 认 
证 方法 。 

4. 802.1x 认 证 支持 的 Guest VLAN、Restrict VLAN 与 Critical VLAN 

为 了 使 那些 不 支持 802.1x 的 客户 端 通过 安装 或 者 升级 802.1x 客户 端 软件 来 支持 802.1x 认 证 ， 也 为 那些 
在 认证 过 程 中 认证 失败 ， 或 认证 服务 器 无 响应 时 提供 一 些 基 本 的 访问 资源 ， 华 为 $ 系 列 交换 机 的 802.1x 认 证 
功能 提供 了 以 下 三 种 不 同 的 特殊 VLAN 功 能 (当然 ， 这 些 都 是 可 选 的 配置 ) 。 

(1) Guest VLAN。Guest VLAN 来宾 VLAN) 功能 开启 后 ， 当 用 户 不 响应 802.1x 认 证 请 求 时 (如 未 
安装 客户 端 软件 ) ， 设 备 端 会 将 用 户 所 在 端口 加 入 到 GuestVLAN 中 ， 以 便 这 些 用 户 可 以 访问 Guest 
VLAN， 获 取 客 户 端 软件 ， 升 级 客户 端 或 执行 其 他 一 些 用 户 升 级 程序 等 操作 。 

(2) Restrict VLAN。Restrict VLAN (限制 YLAN) 功能 开启 后 ， 当 用 户 认 证 失败 时 《如 输入 了 错误 
的 用 户 名 和 密码 ) ， 设 备 端 会 将 用 户 所 在 端口 加 入 到 Restrict VLAN 中 。Restrict VLAN 和 Guest VLAN 的 功能 
相似 ， 都 是 满足 用 户 在 通过 认证 前 可 以 访问 有 限 的 网 络 资源 。 但 通常 在 Restrict VLAN 中 部 署 的 网 络 资源 比 
Guest VLAN 中 更 少 ， 从 而 更 严格 地 限制 未 通过 认证 的 用 户 对 网 络 资源 的 访问 。 
(3) Critical VLAN。Critical VLAN (严格 VLAN) 功能 开启 后 ， 当 认证 服务 器 无 响应 时 (如 设备 端 与 
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认证 服务 器 之 间 的 网 络 断 开 或 者 认证 服务 器 出 现 故障 ) ， 设 备 端 会 将 
而 能 够 访问 Critical VLAN 中 的 资源 。 

5. 802.1x 快 速 部 署 
在 实际 的 应 用 中 ， 如 果 网 络 规模 比较 大 ， 且 有 大 量 不 能 很 好 支持 802.1x 功 能 的 客户 端 ， 这 时 客户 端的 部 
署 工 作 量 可 能 很 大 。 为 此 华为 $ 系 列 交换 机 提供 了 802.1x 认 证 快速 部 署 功能 。 它 可 引导 这 些 用 户 自助 下 载 安 
装 客户 端 ， 实 现 客户 端的 快速 部 署 。 

802.1x 认 证 快速 部 署 功能 通过 以 下 两 个 功能 实现 。 

(1) 用 户 受 限 访 问 。802.1x 认证 成 功 之 前 ， 通 过 ACL 限制 终端 用 户 只 能 访问 一 个 特定 的 IP 地 址 段 
( 免 认 证 IP 网 段 ，， 或 是 特定 服务 器 ， 在 特定 服务 器 上 提供 客户 端的 下 载 升 级 或 者 动态 地 址 分 配 等 服务 。 

(2) 用 户 HTTP 访 问 URL 重 定向 功能 。 用 户 在 未 进行 802.1x 认 证 前 或 者 认证 失败 后 ， 使 用 浏览 器 访问 网 
络 时 ， 设 备 会 将 用 户 访 问 的 URL 重 定向 到 配置 好 的 URL， 供 这 些 用 户 从 这 个 网 页 中 下 载 客户 端 软 件 。 

6. 用 户 组 授权 功能 

设备 支持 根据 用 户 组 对 用 户 进 行 授 权 控 制 ( 就 相当 于 Windows 系统 中 的 用 户 组 一 样 ) 。 在 用 户 认证 成 
功 后 ， 认 证 服务 器 为 该 用 户 下 发 到 对 应 的 用 户 组 ， 使 该 用 户 具 备 该 用 户 组 中 的 访问 权限 。 每 个 用 户 组 可 以 
关联 不 同 的 ACL 规 则 ， 通 过 用 户 组 和 ACL 规 则 的 关联 ， 实 现 对 每 类 用 户 进行 ACL 授权 信息 控制 ， 即 同类 用 
户 采 用 同样 的 授权 信息 。 








有 目 户 所 在 端口 加 入 Critical YLAN 中 进 
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18.1.2 802.1x 认 证 原理 














前 面 说 了 ， 在 802.1x 认 证 过 程 中 ， 设 备 端 与 RADIUS 服 务 器 之 间 支 持 EAP 中 继 和 EAP 终 结 两 种 认证 方 
式 。 下 面 均 以 客户 端 主动 发 起 认证 为 例 介 绍 这 两 种 认证 方式 的 工作 原理 。 

1.EAP 中 继 认 证 原理 
在 EAP 中 继 认证 的 过 程 中 ， 设 备 端 起 一 个 中 继 代理 的 角色 ， 用 于 通过 EAPOR 封 装 和 解 封 装 的 过 程 转 发 
客户 端 和 认证 服务 器 之 间 的 交互 报 文 。 整 个 认证 过 程 是 先进 行 用 户 名 认证 ， 再 进行 对 应 的 密码 认证 ， 具 体 
如 图 18-3 所 示 (对 应 图 18-3 中 的 序号 ) 。 
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RADIUS server 


EAPOL 
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(2) EAP-RequesUIdentity 
(4) RADIUS Access-Request 
(EAP-Response/Identity) 


(5) RADIUS Access-Challenge 
(EAP-Request/MDS challenge) 


(3) EAP-Response/ldentity 


(6) EAP-Request/MDS challenge 


(7) 人 (8) RADIUS Access-Request 
e 


(EAP-Response/MDS challenge) 
(9) RADIUS Access-Accept 
(10) EAP-Success (EAP-Success) 


PT once 


(11) Handshake request 
(EAP-Request/Identity) 


(12) Handshake reponse 外 
(EAP-Response/Identity) 














图 18-3 EAP 中 继 认 证 流程 





























《1) 当 用 户 访问 网 络 时 自动 打开 802.1x 客 户 端 程 序 ， 根 据 提 示 输 入 已 经 在 RADIUS 服务 器 中 创建 的 用 
户 名 和 密码 ， 发 起 连接 请 求 。 因 为 端口 最 初 的 状态 是 未 授权 状态 ， 所 以 此 时 端口 除了 IEEE 802.1x 协 议 包 外 
不 能 接收 和 发 送 任何 包 。 此 时 ， 客 户 端 程序 将 向 设备 端 发 出 认证 请 求 帧 〈“EAPOL-Start) ， 启 动 认 证 过 程 。 

(2) 设备 端 在 收 到 客户 端的 认证 请 求 帧 后 ， 将 发 出 一 个 Identity (标识 ) 类 型 的 EAP 请 求 帧 (EAP- 
RequestIdentity) ， 要 求 用 户 的 客户 端 程序 发 送 上 一 步 用 户 所 输入 的 用 户 名 。 

(3) 客户 端 程序 在 收 到 设备 端的 Identity 请 求 帧 后 ， 将 用 户 名 信息 通过 Identity 类 型 的 EAP 响 应 帧 
CEAP-Response/Identity) 发 送 给 设备 端 ， 啊 应 设备 端 发 出 的 请 求 。 

(4) 设备 端 将 客户 端 发 送 的 Identity 响 应 帧 中 的 EAP 报 文 原 封 不 动 地 使 用 RAPOR 格 式 封装 在 RADIUS 报 
文 (RADIUS Access-Request) 中 ， 发 送 给 认证 服务 器 进行 处 理 。 

(5) RADIUS 服务 器 收 到 设备 端 发 来 的 RADIUS 报 文 后 从 中 提取 用 户 名 信息 后 ， 将 该 信息 与 数据 库 : 
的 用 户 名 列表 中 对 比 ， 找 到 该 用 户 名 对 应 的 密码 信息 ， 并 用 随机 生成 的 一 个 MD5 Challenge 消 息 对 密码 进行 
加 密 处 理 ， 然 后 将 此 MD5 Challenge 消 息 同 样 通过 EAPOR 格 式 封装 以 RADIUS Access-Challenge 报 文 发 送 给 
设备 端 。 

(6) 设备 端 在 收 到 来 自 RADIUS 服 务 器 的 EAPOR 格 式 的 Access-Challenge 报 文 后 ， 通 过 解 封装 ， 将 其 
的 MD5 Challenge 消 息 转 发 给 客户 端 。 

(7) 客户 端 在 收 到 由 设备 端 传 来 的 MD5 Challenge 消 息 后 ， 用 该 Challenge 消 息 对 密码 部 分 进行 加 密 处 
里 ， 然 后 生成 EAP-Response/MD5 Challenge 报 文 ， 并 发 送 给 设备 端 。 

(8) 设备 端 又 将 此 EAP-Response/MD5 Challenge 报 文 以 EAPOR 格 式 封装 在 RADIUS 报 文 (RADIUS 
Access-Request) 中 发 送 给 RADIUS 服务 器 。 

(9) RADIUS 服务 器 收 到 的 已 加 密 的 密码 信息 后 ， 与 第 (5) 步 在 本 地 经 过 加 密 运 算 后 的 密码 信息 进行 

















































































































































































































































































































































































































对 比 ， 如 果 相 同 则 认为 是 合法 用 户 ， 并 向 设备 端 发 送 认 证 通过 报 文 (RADIUS Access-Accept) 。 




















(10) 设备 收 到 RADIUS Access-Accept 报 文 后 ， 经 过 EAPOR 解 封装 再 





以 EAP-Success 报 文 向 客户 端 发 





送 ， 并 将 端口 改 为 授权 状态 ， 允 许 / 











] 户 通过 端口 访问 网 络 。 








(11) 用 户 在 线 








期 间 设备 端 会 通过 向 客户 端 定期 发 送 握手 报 文 ， 对 用 户 的 在 线 情况 进行 监测 。 



































(12) 客户 端 收 到 握手 报 文 后 向 设备 发 送 应 答 报 文 ， 表 示 | 
的 两 次 握手 请 求 报 文 都 未 得 到 客户 端 应 答 ， 设 备 端 就 会 让 用 户 了 
法 感知 。 
































下 线 ， 防 止 用 户 因 为 异常 原 





j 户 仍然 在 线 。 缺 省 情况 下 ， 知 设备 端 发 送 
对 下 线 而 设备 无 

















(13) 客户 端 可 以 发 送 EAPOL-Logoff 帧 给 设备 端 ， 主 动 要 求 下 线 。 





(14) 在 设备 端 收 到 客户 端 发 来 的 EAPOL-Logoff 帧 后 ， 把 端口 状态 从 授权 状态 改变 成 未 授权 状态 ，} 


向 客户 端 发 送 EAP-Failure 报 文 ， 确 认 对 应 客户 端 下 线 。 


























































































































































































2. EAP 终 结 认证 原理 
EAP 终 结 方式 与 EAP 中 继 方 式 的 认证 流程 相 比 ， 主 要 不 同 在 于 步 又 (4) 中 用 来 对 用 户 密 码 信息 进行 加 
密 处 理 的 MD5 challenge 是 由 设备 端 生成 (而 不 是 由 RADIUS 服 务 器 生成 ) ， 之 后 设备 端 会 把 用 户 名 、MD5 
challenge 和 客户 端 加 密 后 的 密码 信息 一 起 送 给 RADIUS 服 务 器 ， 进 行 相关 的 认证 处 理 。 具 体 流程 如 图 18-4 所 
示 。 
EAPOL RADIUS 
证 二 导师 吉 医 - 
(5) EAP-Response/MDS challenge 
(6) RADIUS Access-Request 
(CHAP-Response/MDS challenge) 
(7) RADIUS Access-Accept 
(8) EAP-Success (CHAP-Success) 
(9) Handshake request | li 
(EAP-Requtatldentity). | ‘Te 
(10) Handshake reponse Woooeooooooooeoeoooeeeoosooeet 
(EAP-Response/Identity) 
i i 
图 18-4 EAP 终 结 认证 流程 
3. MAC 劳 路 认证 
在 802.1x 认证 过 程 中 ， 设 备 端 会 首先 触发 用 户 采 用 802.1x 认证 方式 ， 但 若 用 户 长 时 间 内 没有 进行 
802.1x 认 证 《如 图 18-5 所 示 〉， 则 以 用 户 的 MAC 地 址 作为 用 户 名 和 密码 上 送 认证 服务 器 进行 认证 。MAC 旁 
































无 法 安装 和 使 用 802.1x 客 户 端 软 伯 











路 认证 可 使 802.1x 认 证 系统 ! 
为 用 户 名 和 密码 进行 认证 。 

















的 终端 ， 例 如 打印 机 等 ， 以 自身 MAC 地 址 作 


18.1.3 MAC 认 证 





















EAPOL 





Authenticator 
System PAE 










Supplicant 


System PAE RADUIS Server 
ster 9 







EAP-Request/Identity 


EAP-Request/Identity 
EAP-Request/Identity 








RADIUS Access-Request 
(CHAP-Response/MDS challenge) 


RADIUS Access-Accept 
(EAP-Success) 


加 ooooooeoooeoeoeooeceoeooeooooh 


图 18-5 MAC 旁 路 认证 流程 























MAC 认证 是 一 种 基于 端口 和 MAC 地 址 对 用 户 的 网 络 访问 权限 进行 控制 的 认证 方法 。 它 与 前 面 介 绍 的 





802.1x 认 证 相 比 ， 最 大 的 特点 就 是 不 需要 用 户 安 净 任何 客户 端 软件 ， 
码 ， 设 备 在 启动 了 MAC 认证 的 端口 上 首次 检测 到 用 户 的 MAC 地 址 以 后 即 启动 对 该 / 
然 这 不 是 一 种 十 分 安全 的 认证 方式 ， 因 为 MAC 地 址 完全 可 以 仿冒 。 
证 方式 ， 因 为 它 的 配置 和 认证 过 程 都 很 简单 。 


























根据 设备 端 最 


为 两 种 类 型 。 


(1) MAC 地 址 用 户 名 格式 : 使 用 用 户 的 MAC 地 址 作为 认证 时 的 用 户 名 和 密码 ， 适 用 于 一 个 端口 
一 个 客户 端的 情形 。 

















] 于 验证 用 户 身份 的 | 























(2) 
和 密码 


固定 




















VLAN 功 能 











在 | 















































j 户 名 形式 : 不 论 | 
代用 户 的 MAC 地 址 作为 身份 信息 进行 认证 。 适 用 于 同一 个 端口 下 连接 多 个 用 户 的 情形 ， 但 要 求 接 
入 的 客户 端 比较 可 信 。 

MAC 认 证 与 前 面 介绍 
启 后 ， 当 用 户 不 响应 MAC 认 证 请 求 时 ， 设 备 会 将 用 户 所 在 端口 如 入 Guest VLAN 中 ， 这 样 用 户 
就 可 以 访问 Guest VLAN 中 





] 户 组 授权 功能 开启 后 ， 设 备 支 持 根 据 用 户 组 对 | 
器 下 发 用 户 组 ， 将 用 户 进行 分 类 。 每 个 用 户 组 可 以 关联 不 
实现 对 每 类 用 户 进行 ACL 授 权 信 息 控制 ， 即 同类 

















也 不 需要 用 户 手 动 输入 用 户 名 或 者 密 
j 户 的 认证 操作 。 很 显 
晶 MAC 认证 确实 是 一 种 比较 有 用 的 认 













































































j 户 名 格式 和 内 容 的 不 同 ， 可 以 将 MAC 认证 使 用 的 | 








j 户 名 格式 分 


























连接 












































j 户 的 MAC 地 址 为 何 值 ， 所 有 用 户 均 使 














j 设 备 上 指定 的 一 个 固定 ) 














] 户 名 






































的 802.1x 认 证 一 样 ， 也 支持 “Guest VLAN 功 能 "和 “用 户 组 授权 功能 "”。 在 Guest 



































的 资源 ， 从 而 满足 了 用 








户 不 进行 认证 也 能 够 访问 某 些 基本 的 网 络 资源 的 需求 。 
j 户 进行 授权 控制 ， 即 用 户 认证 成 功 后 ， 认 证 服务 















































司 的 ACL 规 则 ， 通 过 月 
j 户 采用 同样 的 授权 信息 。 























































































































上 户 组 和 ACL 规 则 的 关联 ， 





18.1.4 Portal 认 证 
Portal 认 证 通常 也 称 为 Web 认 证 ， 是 通过 Web 页 面 进行 认证 的 ， 一 般 将 用 于 Portal 认 证 的 网 站 称 为 门户 网 
站 。 未 认证 用 户 上 网 时 ， 设 备 强制 用 户 登 录 到 特定 站 点 ， 用 户 可 以 免费 访问 其 中 的 服务 。 当 用 户 需 要 使 用 









































上 进行 认证 ， 只 有 认 记 





互联 网 中 的 其 他 信息 时 ， 必 须 在 门户 网 























[通过 后 才 可 以 使 用 互联 网 资源 。 




















用 户 可 以 主动 访问 已 知 的 Portal 认证 网 站 ， 输 入 用 户 名 和 密码 进行 认 训 
作 主 动 认证 。 反 之 ， 如 果 用 户 试 区 


通过 HTTP 访 问 其 他 外 网 ， 将 被 强制 访问 Portal 认 
认证 过 程 ， 这 种 方式 称 作 强 制 认 证 


Eo 
1. Portal 认 证 系统 结构 
Portal 服 务 器 可 以 是 接 入 设备 之 外 的 独立 设备 担当 ， 称 之 为 “外 置 Portal 服 务 器 ”， 

























































































上 ， 这 种 3 


14 个 基本 要 素 组 成 : 认 刘 





下 始 Portal 认 证 的 方式 称 
E 网 站 ， 从 而 开始 Portal 








订 





也 可 以 由 接 入 设备 自己 
FE 客 



































担当 ， 称 之 为 “内 置 Portal 服务 器 *。 使 用 外 置 Portal 服务 器 的 Portal 认证 系统 
户 端 、 接 入 设备 、Portal 服务 器 与 认证 图 18-6 所 示 。 











/ 计 费 服务 器 ， 如 



















认证 客户 端 
认证 / 计 费 服务 器 


认证 客户 端 接 入 设备 













































































































Portal 服 务 器 

认证 客户 端 

图 18-6 使 用 外 置 Portal 服 务 器 的 Portal 认 证 系统 组 成 
(1) 认证 客户 端 : 运行 HTTP/HTTPS 协 议 的 浏览 器 或 运行 Portal 客 户 端 软件 的 主机 。 
(2) 接 入 设备 : 与 认证 客户 端 连 接 的 设备 〈 如 交换 机 、 路 由 器 等 ) ， 提 供 以 下 三 方面 作用 。 
Q 在 认证 之 前 ， 将 认证 网 段 内 用 户 的 所 有 HTTP 请 求 都 重 定向 到 Portal 服 务 器 。 
@ 在 认证 过 程 中 ， 与 Portal 服 务 器 、 认 证 / 计 费 服务 器 交互 ， 完 成 身份 认证 / 计 费 的 功能 。 
@) 在 认证 通过 后 ， 允 许 用户 访问 被 管理 员 授 权 的 互联 网 资源 。 
(3) Portal 服务 器 : 接收 Portal 客户 端 认 证 请 求 的 服务 器 端 系统 ， 提 供 免 费 门户 服务 和 基于 Web 认 证 























的 界面 ， 与 接 入 设备 交互 认证 客户 端的 认证 信息 。 

(4) 认证 / 计 费 服务 器 : 与 接 入 设备 进行 交互 ， 完 成 对 / 
然 看 起 来 有 4 个 部 分 ， 其 实 仍 与 前 
十 费 服务 器 都 属于 ACS 。 

用 内 置 Portal 服 务 器 的 Portal 认 证 系统 由 3 个 基本 要 素 组 成 : 认证 客户 端 、 
图 18-7 所 示 。 这 时 ， 不 同 的 只 是 接 入 设备 与 Portal 服 务 器 是 由 一 个 设备 担当 。 


We 




















E 和 计 费 。 





] 户 的 认 鹿 








和 认证 /i 
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器 ， 刀 




























































































中 

















认证 客户 端 接 入 设备 /内 置 认证 / 计 费 服务 器 
Portal 服 务 器 
图 18-7 使 用 内 置 Portal 服 务 器 的 Portal 认 证 系统 组 






































通过 内 置 Portal 服 务 器 进行 Portal 认 证 ， 








而 图 18-1 所 说 到 的 NAC 模 型 的 3 个 部 分 是 一 相 


于 不 需要 部 署 额 外 的 Portal 服 务 器 ， 故 增强 了 Portal 认 证 的 通用 








的 ， 因 为 Portal 服务 器 





接 入 设备 和 认证 / 计 费 服务 















































性 。 但 通常 ， 同 时 担当 内 置 Portal 服 务 器 的 接 入 设备 提供 了 比较 简单 的 Portal 服 务 器 




















功能 ， 仅 能 给 用 户 提 











(十 


me 
八 心 = 





























过 Web 方 式 上 线 、 下 线 的 基本 功能 ， 并 不 能 完全 蔡 代 独立 的 Portalj 
扩展 功能 ， 例 如 二 次 地 址 分 配 等 。 














及 务 器 ， 也 不 支持 外 置 独立 服务 器 的 人 有 





E 何 











设备 可 以 条 


证 方式 的 报 文 交 互 过 程 如 图 


务 器 或 设 定 的 免 认 说 


2. Portal 认 证 方式 


不 同 的 组 网 方式 下 ， 可 采用 的 Portal 认 证 方式 不 同 。 按 照 网 络 中 实施 Portal 认 证 的 网 络 层次 来 分 ，Portal 








的 认证 方式 分 为 两 种 : 二 层 认 








(1) 二 层 认 证 方式 


当 认 证 客户 端 与 接 入 设备 直 连 (或 之 间 只 有 二 层 设备 存在 ) 时 ， 设 备 
| 用 IP 和 MAC 地 址 来 识别 








二 层 认 证 流程 简单 ， 但 





























j 户 ， 此 
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@ 认证 客户 端 进 




















» 











-8 所 示 ， 具 体 























认证 客户 端 














(6) 通 


@@ Portal 服 务 器 与 接 入 设备 之 | 


(1) 发 起 认证 














Portal 服 务 器 


(2 


知 用 户 认 证 成 功 





加 














备 进 行 PAP 认 证 交互 ， 不 进行 本 步 
G@) Portal 服 务 器 将 用 户 输 入 的 
证 应 答 报 文 。 


@@ 接 入 设备 与 RADIUS 





服务 器 之 间 进 


; 





























时 可 配置 Portal 认 证 为 二 
于 限制 了 用 户 只 能 与 接 入 设备 处 于 同一 
i 述 如 
行 HTTP 访 问 时 ，HTTP 报 文 进入 接 入 设备 时 ， 接 入 设备 要 进行 分 辨 .对 于 访问 Portal 月 
E 网 络 资源 的 HTTP 报 文 ， 允 许 其 通过 ; 对 于 访问 其 他 地 址 的 HTTP 报 文 ， 将 HTTP 访 问 重 


定向 到 Portal 服 务 器 。Portal 服 务 器 提供 Web 页面 供用 户 输入 ) 


(3) 认证 请 求 
(5) 认证 应 答 
(7) 认证 应 答 确 认 


18-8 Portal 二 层 认 证 流程 


证 方式 和 三 层 认 证 方式 。 











能 够 学 习 到 用 户 的 MAC 地 址 ， 则 
屋 认 证 方式 。 
网 段 ， 降 低 了 组 网 的 灵活 性 。 二 
中 的 序号 ) 。 

















层 认 














多 


下 (流程 号 对 应 




















Ra 


























j 户 名 和 密码 来 进行 认证 。 
接 入 设备 





RADIUS 服 务 器 


) CHAP 认 证 交互 


(4) RADIUS 协 议 
的 认证 交互 







进行 CHAP 认 证 交互 。 如 果 采 用 PAP 认 证 ， 则 Portal 服 务 器 无 需 与 接 入 设 
i 程 ， 直 接 进行 下 面 的 第 @) 步 。 
户 名 和 密码 组 装 成 认证 请 求 报 文 发 往 接 入 设备 ， 同 时 开启 定时 器 等 待 认 























行 RADIUS 协 议 报 文 的 交互 。 


@ 接 入 设备 向 Portal 服 务 器 发 送 认证 应 答 报 文 。 








G@) Portal 服 务 器 
G@) Portal 服 务 器 
(2) 三 层 认证 方式 








当 设 备 部 署 在 汇聚 层 或 核心 
取 到 认证 客户 端的 MACd 




















向 客户 端 发 送 认 训 
向 接 入 设备 发 送 认证 应 答 确 认 。 

















层 时 ， 在 认证 客户 端 和 设备 之 间 存 在 三 层 转发 设备 ， 此 时 设 
也 址 ， 所 以 将 以 下 地 址 唯 











E 通 过 报 文 ， 通 知客 户 端 认证 成 功 。 











备 不 一 定 能 获 
标识 用 户 ， 此 时 需要 将 Portal 认 证 配置 为 三 层 认 证 方式 。 












































三 层 认 证 的 报 文 处 理 




















流程 








IP 可 以 用 来 标识 一 个 用 户 ， 所 以 安全 性 





民 二 层 认 证 完全 











3. Portal 认 证 探测 与 逃生 功能 














在 Portal 认 证 实际 组 网 应 用 








中 ， 如 果 接 入 设备 与 Portal 服 务 器 之 间 出 现 网 络 故 障 ， 
Portal 服 务 器 本 身 出 现 故 障 ， 就 会 造成 新 的 Portal 认 证 























致 。 三 层 认 证 组 网 灵活 ， 容 易 实 现 远程 控制 ， 但 由 于 只 有 











导致 通信 中 断 或 者 
] 户 无 法 上 线 ， 已 经 在 线 的 Portal 用 户 也 无 法 正常 下 















































线 。 这 时 就 要 用 到 Portal 认 证 的 探测 和 逃生 功能 ， 它 可 使 在 网 络 故障 或 Portal 服 务 器 无 法 正常 工作 的 情况 
下 ， 接 入 设备 让 用 户 仍然 能 够 正常 使 用 网 络 ， 并 具有 一 定 的 网 络 访问 权限 ， 并 通过 日 志和 Trap 的 方式 报告 
故障 。 同 时 在 故障 修复 后 ， 接 入 设备 通过 用 户 信息 同步 机 制 可 保证 Portal 服 务 器 与 设备 上 用 户 信息 的 一 臻 
性 ， 以 避免 可 能 出 现 的 计 费 不 准确 问题 。 

4. 用 户 组 授权 功能 

与 801.1x 认 证 和 MAC 认 证 一 样 ，Portal 认 证 也 支持 根据 用 户 组 对 用 户 进行 授权 控制 。 即 用 户 认 证 成 功 
后 ， 认 证 服务 器 下 发 用 户 组 ， 将 用 户 进行 分 类 。 每 个 用 户 组 可 以 关联 不 同 的 ACL 规 则 ， 通 过 用 户 组 和 ACL 
规则 的 关联 ， 实 现 对 每 类 用 户 进行 ACL 授 权 信 息 控制 ， 即 同类 用 户 采 用 同样 的 授权 信息 。 


























































































































































































































18.1.5 NAC 特 性 的 产品 支持 








华为 $ 系 列 交换 机 同时 支持 802.1x 认 证 、MAC 认 证 、Portal 认 证 以 及 混合 认证 。 但 各 种 不 同系 列 所 支持 
的 这 些 认 证 特性 不 完全 相同 (除非 特别 说 明 ， 所 有 S 系 列 交 换 机 均 支 持 所 列 的 各 种 认证 特性 ) ， 下 面 分 别 予 
以 介绍 。 

1. 802.1x 认 证 特性 及 产品 支持 

除了 基本 的 802.1x 认 证 功能 外 ， 为 了 使 管理 员 能 够 更 加 合理 有 序 地 控制 、 
交换 机 还 支持 以 下 802.1x 认 证 特性 。 

(1) 支持 MAC 旁 路 认证 功能 。 

(2) 支持 对 多 个 定时 器 的 值 进行 设置 。 

(3) 支持 Guest VLAN、Restrict VLAN 与 Critical VLAN 功 能 。 但 S2700/3700 系 列 不 支持 Restrict VLAN 
与 Critical VLAN 功 能 。 

(4) 支持 通过 DHCP 报 文 或 源 MAC 未 知 报 文 触发 802.1x 认 证 。 
文 触发 802.1x 认 证 。 

(5) 支持 802.1x 认 证 快速 部 署 功能 ， 但 S2700/3700 系 列 不 支持 。 

2. MAC 认 证 特性 及 产品 支持 

除了 基本 的 MAC 认 证 功能 外 ， 为 了 使 管理 员 铺 
列 交换 机 还 支持 以 下 MAC 认 证 特性 。 

(1) 支持 用 户 名 形式 以 及 用 户 认证 域 的 设置 。 

(2) 支持 配置 接口 允许 接 入 的 最 大 MAC 认 证 用 户 数 。 

(3) 支持 对 多 个 定时 器 的 值 进行 设置 。 

(4) 支持 对 MAC 认 证 用 户 进 行 重 认证 功能 。 

(5) 支持 Guest VLAN 功 能 。 

3. Portal 认 证 及 产品 支持 

除了 基本 的 Portal 认 证 功能 外 (S5700LI 和 S5700S-LI 子 系列 不 支持 Portal 认 证 ) ， 为 了 使 管理 员 能 够 更 
加 合理 有 序 地 控制 、 管 理 设备 与 Portal 服 务 器 的 信息 交互 以 及 Portal 认 证 用 户 ， 华 为 $ 系 列 交换 机 还 支持 
Portal 认 证 特性 。 

(1) 支持 采用 外 置 Portal 服 务 器 与 内 置 Portal 服 务 器 的 Portal 认 证 。 但 S2700/3700 系 列 ， 以 及 
S7700/9300/9300E/9700 系 列 均 不 支持 内 置 Portal 服 务 器 的 Portal 认 证 。 

(2) 支持 配置 设备 与 Portal 服 务 器 信息 交互 参数 。 

(3) 支持 配置 Portal 认 证 用 户 接 入 控制 参数 。 

(4) 支持 配置 Portal 认 证 用 户 下 线 探测 周期 。 但 S2700/3700 系 列 不 支持 。 






















































































WE 








管理 802.1x 用 户 ， 华 为 $ 系 列 




































































晶 S2700/3700 系 列 不 支持 源 MAC 未 知 报 
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(5) 支持 Portal 认 证 的 探测 与 逃生 功能 。 但 S2700/3700 系 列 不 支持 。 


4. 混合 认证 


为 了 灵活 地 适应 网 络 环境 











功 通过 一 种 方式 的 认证 即 可 实现 接 入 。 














A 


的 多 种 认证 需求 ， 一 些 华为 $ 系 列 交换 机 支持 在 接 入 用 
802.1x 认 证 、MAC 认 证 、Portal 认 证 ， 使 得 用 户 可 以 选择 任何 一 种 适合 的 认证 机 制 来 进行 认证 ， 














口上 同时 配置 
日 只 需要 成 


户 的 端 






































晶 S2700/3700 系 列 ， 以 及 S7700/9300/9300E/9700 系 列 不 支持 混合 认证 配置 ， 在 支持 的 混合 认证 的 











S5700/6700 系 列 中 ，Portal 认 证 也 仅 支 持 使 用 内 置 Portal 服 务 器 认证 场景 ， 且 仅 S5700EI、S5700HI、 


S5710EI 子 系列 和 S6700 系 列 
5. 三 种 认证 方式 比较 
以 上 介绍 的 802.1x 认 证 、 


对 比 项 


支持 混合 认证 配置 。 








Portal 认 证 和 MAC 认 证 的 比较 如 表 18-1 所 示 。 





表 18-1 三 种 NAC 认 证 方式 比较 


802.1x 认证 





Portal 认证 


MAC 认证 





客户 端 
程序 需求 


ES 
需要 


Portal 需要 ， 
Web 强 推 不 需要 


不 需要 





优点 


部 署 在 接 入 层 时 ， 直 接 控 制 
网 络 接 入 口 的 通 断 ， 安 全 性 高 


部 署 灵 活 


: 需 安装 客户 端 





缺点 


部 署 不 灵活 


安全 性 不 高 


管理 复杂 ， 
需 登 记 MAC 地 址 





适合 场景 


新 建 网 络 ， 用 户 集中 ， 
且 信 息 安全 要 求 严格 的 场景 





18.1.6 各 种 NAC 认 证 方式 的 缺 省 配置 














华为 $ 系 列 交换 机 的 NAC 中 的 802.1x 认 证 、MAC 认 证 和 Portal 认 记 











和 表 18-4 所 示 。 实 际 应 用 的 配置 可 以 基 必 


' 











认证 方式 灵活 ， 
适用 于 用 户 分 散场 景 

















缺 省 配置 进行 修改 。 








表 18-2 802.1x 认 证 的 缺 省 配置 








适用 于 打印 机 ， 
传真 机 等 哑 终 端 
接 入 认证 的 场景 





FE 都 有 缺 省 配置 ， 分 别 如 表 18-2、 表 18-3 





参数 


| 缺 省 值 








802.1 认证 


未 使 能 








接口 授权 状态 


自动 识别 模式 (auto) 








接口 接 入 控制 方式 


基于 MAC 方式 








用 户 认证 方式 


CHAP 认证 








握 


手 定时 器 (handshake-period) 


S2700/3700/5700/6700 系列 为 15s， 
S700/9300/9300E/9700 系列 为 60s 


























静默 定时 器 (quiet-period) 60s 
周期 性 重 认证 定时 器 (reauthenticate-period) 3600s 
认证 服务 器 超时 定时 器 (server-timeout) 30s 
客户 端 认证 超时 定时 器 (client-timeout) 30s 
用 户 名 请 求 超时 定时 器 (tx-period) 30s 








向 用 





户 发 送 认证 请 求 报 文 的 最 大 次 数 


表 18-3 MAC 认 证 的 缺 省 配置 


2 次 
































参数 缺 省 值 

MAC 认证 未 使 能 
MAC 认证 的 用 户 名 和 密码 均 为 
不 带 分 隔 符 “-” 的 MAC 地 址 

用 户 认证 域 default 
Guest-Vlan 用 户 重 认证 定时 器 





用 户 名 形式 








60s 
(guest-vlan reauthenticate-period ) 


用 于 下 线 探测 定时 器 (offline-detect) 300s 
静默 定时 器 (quiet-period) 60s 

周期 性 重 认证 定时 器 (reauthenticate-period) 1 800s 
认证 服务 器 超时 定时 器 (server-timeout) 30s 




















表 18-4 Portal 认 证 的 缺 省 配置 











Portal 认证 未 使 能 
设备 支持 的 Portal 协议 版 本 v2、 vl 
设备 向 Portal 服务 器 发 送 报 文 时 使 用 的 目的 端口 号 50100 
设备 侦 听 Portal 协议 报 文 的 端口 号 2000 
Portal 认证 的 源 认 证 网 段 0.0.0.0/0 
内 置 Portal 服务 器 对 Portal 认证 用 户 的 认证 方式 CHAP 方式 
下 线 探测 周期 300s 


























18.2 802.1x 认 证 配置 与 管理 
































通过 配置 802.1x 认 证 可 以 实现 基于 接口 的 用 户 接 入 控制 ， 但 802.1x 认 证 只 提供 了 一 个 用 户 身 份 认证 的 实 
现 方 案 ， 为 了 完成 用 户 的 身份 认证 还 需要 选择 使 用 RADIUS 或 本 地 认证 方法 。 因 此 ， 需 要 首先 完成 以 下 配置 
任务 (具体 请 参见 本 书 第 17 章 )。 

(1) 配置 用 户 所 属 的 ISP 认 证 域 及 其 使 用 的 AAA 方案 ， 即 本 地 认证 方案 或 RADIUS 方案 。 

(2) 如 果 需 要 通过 RADIUS 服务 器 进行 认证 ， 则 应 该 在 RADIUS 服务 器 上 配置 相应 的 用 户 名 和 密码 ; 
如 果 需 要 本 地 认证 ， 则 应 该 在 网 络 接 入 设备 上 手动 添加 认证 的 用 户 名 和 密码 。 

802.1x 认 证 可 配置 的 任务 如 下 《〈 仅 第 一 项 为 必 选 的 ， 其 余 均 为 可 选 配置 任务 ) 。 

(1) 使 能 802.1x 认 证 功能 。 

(2) (可 选 ) 配置 接口 授权 状态 。 








































































































































































































































































































(3) (可 选 ) 配置 接口 接 入 控制 方式 。 

(4) (可 选 ) 配置 用 户 认证 方式 。 

(5) (可 选 ) 使 能 MAC 旁 路 认证 功能 。 

(6) (可 选 ) 配置 接口 允许 接 入 的 最 大 802.1x 认 证 用 户 数 。 
(7) (可 选 ) 配置 802.1x 认 证 的 定时 器 。 

(8) (可 选 ) 配置 802.1x 认 证 的 静默 功能 。 

(9) (可 选 ) 配置 对 802.1x 认 证 用 户 进行 重 认证 。 
(10) (可 选 ) 配置 802.1x 在 线 用 户 握手 功能 。 
(11) (可 选 ) 配置 Guest VLAN 功 能 。 

(12) (可 选 ) 配置 Restrict VLAN 功 能 。 

(13) (可 选 ) 配置 Critical VLAN 功 能 。 

(14) (可 选 ) 配置 802.1x 认 证 的 接口 Open 功 能 。 
(15) (可 选 ) 配置 允许 DHCP 报 文 触发 802.1x 认 证 。 








(16) 
(17) (可 选 ) 配置 802.1x 快 速 部 署 功能 。 
(18) (可 选 ) 配置 用 户 组 功能 。 

下 面 各 小 节 分 别 介绍 以 上 各 项 配置 任务 。 























18.2.1 使 能 802.1x 认 证 功能 

















(可 选 ) 配置 单 播报 文 触发 802.1x 认 证 。 
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只 有 同时 使 能 全 局 和 接口 上 的 802.1x 认 证 功能 ，802.1x 的 其 他 配置 才能 在 接口 上 生效 ， 具 体 配置 步骤 如 
表 18-5 所 示 。 但 如 果 在 接口 下 有 802.1x 在 线 用 户 ， 则 不 能 去 使 能 802.1x 认 证 功能 。 
表 18-5 使 能 802.1x 认 证 功能 的 配置 步骤 
System-view 二 入 素 祭 
例如 : <HUAWEI> system-view 进入 系统 视图 
adi 使 能 全 局 802.1x 认证 功能 。 缺 省 情况 下 ， 未 使 能 全 局 
2 802.1x 认证 功能 ， 可 用 undo dotlx enable 命令 去 使 能 设 
例如 : [HUAWEI] dotlx enable 备 的 全 局 802.1x 认证 功能 
在 系统 视图 下 批量 为 多 个 接口 使 能 
802.1x 认证 功能 。 命 令 中 的 参数 说 明 
如 下 。 
(1) {interface-type interface-numberl 
e [to interface-number2 ] }: 指定 要 使 能 
dotlx enable interface 认证 功能 的 一 个 接口 或 者 一 个 
{ interface-type interface-numberl ee < 人 ] 六 在 系统 视图 | ( 
[to interface-number2 ] } ee | es 要 下 批量 使 能 | 二 
3 a (2) elsl0 表示 前 面 的 { interface- | 多 个 接口 的 | 先 
例如 ， [HUAWEI]dotlx enable es a ce bo 802.1x 认证 | 一 
interface gigabitethernet 0/0/1 | ] Ee ns | ,ww | 功能 ) 
pp 缺 省 情况 下 ， 所 有 接口 都 没有 使 能 
802.1x 认证 功能 , 可 用 undo dotlx enable 
[ interface { interface-fype interface- 
numberl [ to interface-number2 ] } 
&<1-10> ] 命 令 去 使 能 设备 指定 接口 
上 的 802.1x 认证 功能 
( 续 表 ) 


说 明 





interface interface-type 
interface-number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 





键入 要 使 能 802.1x 认证 功能 的 接口 ， 
进入 接口 视图 在 具体 接口 


视图 下 使 能 





dotlx enable 
例如 : [HUAWEI- 
GigabitEthernet0/0/1]dotlx enable 


18.2.2 〈 可 选 ) 配置 接口 授权 状态 

















使 能 以 上 接口 的 802.1x 认证 功能 

缺 省 情况 下 ， 未 使 能 接口 的 802.1x 认 
证 功能 ,可 用 undo dotlx enable 命令 
去 使 能 以 上 接口 的 802.1x 认证 功能 


802.1x 认证 
功能 





通过 配置 接口 的 授权 状态 ， 可 以 控制 接 入 用 户 是 否 需 要 经 过 认证 来 访问 网 络 资源 。 华 为 系列 交换 机 接 





卫 


支持 3 种 802.1x 认 证 授权 状态 。 








图 





(1) 自动 识别 模式 (auto〉: 接口 初始 状态 为 非 授 权 状 态 ， 仪 允许 收发 EAPOL 报 文 ， 不 允许 用 户 访 问 
络 资源 ， 认 证 通过 后 接口 切换 到 授权 状态 ， 允 许 用 户 访问 网 络 资源 。 





(2) 强制 授权 模式 〈authorized-force) : 接口 始终 处 于 授权 状态 ， 人 允许 用 户 不 经 认证 授权 即 可 访问 网 





络 资源 。 仅 适用 于 信任 客户 端 所 连接 的 接口 。 





(3) 强制 非 授权 模式 〈unauthorized-force) : 





仅 适 | 


























于 非 信 任 客 户 端 所 连接 的 接口 。 
接口 授权 状态 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接口 





对 接口 进行 配置 的 。 有 共 体 步 又 如 表 18-6 所 示 。 


18.2.3 〈 可 选 ) 配置 接 





接口 始终 处 于 非 授 权 状 态 ， 


不 允许 用 户 访问 网 络 资源 。 














1 


视图 








表 18-6 接口 授权 状态 的 配置 步 又 


命令 


下 为 单个 接口 配置 ， 但 都 是 针 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 











dotlx port-control { auto | 
authorized-force | unauthorized- 
force } interface { interface-type 
interface-numberl[ to interface- 
nmumber2 ] } &<1-10> 

例如 : [HUAWEI] dotlx 
port-control authorized-force 
interface gigabitethernet 0/0/1 
to 0/0/4 


命令 





在 系统 视图 下 批量 为 多 个 接口 配置 授权 状 
态 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) auto: 多 选 一 选项 ， 指 定 接口 的 授权 
状态 为 自动 识别 。 此 时 ， 接 口 初始 状态 
为 非 授 权 状 态 ， 仅 允许 收发 EAPOL 报 
文 ， 不 允许 用 户 访 问 网 络 资源 ， 认 证 通 
过 后 接口 切换 到 授权 状态 ， 允 许 用 户 访 
问 网 络 资源 

(2) authorized-force: 多 选 一 选项 ， 指 定 
接口 的 授权 状态 为 强制 授权 模式 。 此 时 , 接 
口 始终 处 于 授权 状态 , 允许 用 户 不 经 认证 授 
权 即 可 访问 网 络 资源 

(3) unauthorized-force: 多 选 一 选项 ， 指 
定 接口 的 授权 状态 为 强制 非 授权 模式 。 此 
时 ,接口 始终 处 于 非 授权 状态 , 不 允许 用 户 
访问 网 络 资源 

(4 ) finterface-type interface-numberl [to 
interface- number2 ] }: 指定 要 配置 授权 状态 
的 一 个 接口 或 者 一 个 连续 范围 的 多 个 接口 








说 明 


在 系统 视图 
为 一 个 或 
多 个 接口 批 
量 配置 接口 
的 授权 状态 





( 续 表 ) 





dotlx port-control { auto | 
authorized-force | unauthorized- 
force } interface { interface-type 
interface-numberl|[ to interface- 
number2 ] } &<1-10> 

例如 : [HUAWEI] dotlx 
port-control authorized-force 
interface gigabitethernet 0/0/1 
to 0/0/4 


interface interface-type interface- 
number 


例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 


(5) &<1-10>: 表示 前 面 的 {interface- 
type interface-numberl [to interface-number2 ] 上 
参数 最 多 可 以 有 10 个 

缺 省 情况 下 ， 接 口 的 授权 状态 为 auto， 可 用 
undo dotlx port-control interface { interface- 
type interface- mumberl [to interface-mumber2 ] } 
&&<1-10> 命 令 恢 复 指定 接口 的 授权 状态 为 
缺 省 状态 


键入 要 配置 接口 授权 状态 的 接口 , 进入 接口 
视图 


在 系统 视图 
F 为 一 个 或 
多 个 接口 批 
量 配 置 接口 
的 授权 状态 


在 具体 接口 











dotlx port-control { auto | 
authorized-force | unauthorized- 
force } 

例如 ; [HUAWEI- 
GigabitEthernet0/0/1] dotlx 
port-control authorized-force 


口 接 入 控制 方式 





在 使 能 802.1x 认证 功能 











配置 以 上 接口 的 授权 状态 ,命令 中 的 选项 参 
pe 步 说 明 。 缺 省 情况 下 , 接口 的 授 
权 状 态 为 auto， 可 用 undo dotlx port- 
control 命令 恢复 接口 的 授权 状态 为 缺 省 的 








应 的 接口 接 入 控制 方式 ) 。 





(1) 基于 接口 方式 














在 这 种 接 入 控制 方式 下 ， 














认证 即 可 直接 接 入 网 络 。 但 同时 ， 





制 方式 适合 于 均 需 要 通过 认证 的 集团 用 户 。 


(2) 基于 MAC 地 址 方式 : 接口 下 的 所 有 接 入 用 户 均 和 


当 该 认证 成 功 的 用 户 下 线 后 ， 其 他 有 


吾 ， 设 备 支 持 两 种 接口 接 入 控制 方式 〈 当 有 802.1x 用 户 在 线 时 ， 不 允 放 














该 接口 下 的 第 一 个 | 





户 认 














而 











单独 认证 ， 








当 某 个 用 户 下 线 时 ， 不 影 


视图 下 为 单 
个 接口 配置 
授权 状态 





mm 





更 改 对 

















证 成 功 后 ， 其 他 接 入 用 户 无 需 





有 户 也 将 被 拒绝 接 入 网 络 。 此 接 入 控 








响 其 他 用 


户 接 入 网 络 。 此 接 入 控 人 






































置 ， 








18.2.4 (可 选 ) 配置 





症 方 式 比较 适合 零散 用 户 。 
接口 接 入 控制 方式 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 具体 的 接口 视图 下 为 单个 接口 配 
人 体 配 置 步 又 如 表 18-7 所 示 。 

















表 18-7 接口 





接 入 控制 方式 的 配置 步骤 














步骤 命令 说 明 

1 nd | 进入 系统 视图 
例如 : <HUAWEI> system-view 
RE 在 系统 视图 下 批量 为 多 个 接口 配置 接 入 控 
Pre 0 mae Po ”| 制 方式 。 命 令 中 的 参数 和 选项 说 明 如 下 。 | ， 
interface { interface-type interface- ee ee 在 系统 视图 

2 (1) mac: 二 选 一 选项 ， 指 定 基于 MAC 地 | 一 、 

numberl [to interface-number2] } i ES 下 为 一 个 或 

ee 址 的 接 入 控制 方式 , 即 采用 用 户 的 MAC 地 多 个 接口 批 

址 对 用 户 进行 认证 Ee 

列 如 : [HUAWEI]dot1 量 配 置 接 入 
区 的 4 ns (2) port; 二 选 一 选项 , 指定 基于 接口 的 接 | 是 配置 搂 
port-method port interface 控制 方式 


gigabitethernet 0/0/1 to 0/0/4 


入 控制 方式 ， 即 采用 用 户 所 连接 的 交换 机 
接口 对 用 户 进行 认证 








dotlx port-method { mac | port } 
interface { interface-type interface- 
mumber'] [to interface-mumber2] 上 
&<1-10> 

例如 :; [HUAWEI]dotlx 
port-method port interface 
gigabitethernet 0/0/1 to 0/0/4 


interface interface-type interface- 
number 

例如 : [HUAWEIlinterface 
gigabitethernet 0/0/1 


(3) {interface-type interface-numberl [to 
interface-number2 ] }: 指定 要 配置 接 入 控制 
方式 的 一 个 接口 或 者 一 个 连续 范围 的 多 个 
接口 

(4) &<1-10>: 表示 前 面 的 { interface-type 
interface-number] [ to interface-number2 ] } 
参数 最 多 可 以 有 10 个 

缺 省 情况 下 ，802.1x 在 指定 接口 上 进行 接 
入 控制 的 方式 为 基于 MAC 地 址 方式 , 可 用 
undo dotlx port-method interface { interface- 
type interface-numberl [ to interface- 
number2 ] } 人 <1-10> 命 令 恢复 802.1x 在 指 
定 接 口上 的 接 入 控制 方式 为 缺 省 方式 


键入 要 配置 接 入 控制 方式 的 接口 ， 进 入 接 
口 视图 








dotlx port-method { mac | port } 
例如 :; [HUAWEI- 
GigabitEthernet0/0/1]dotlx 
port-method port 


用 户 认证 方式 








在 802.1x 认 证 中 ， 用 户 通过 EAP 报 文 与 设备 端 交互 认 订 
继 ?” 和 “EAP 终 结 ” 两 种 方式 与 RADIUS 服务 器 交互 认证 信息 ， 有 具体 参见 18.1.1 节 。 
还 是 EAP 中 继 ， 将 取决 于 RADIUS 服务 器 的 处 理 能 力 。 如 果 RADIUS 服务 器 的 处 到 
进行 认证 ， 可 以 采用 EAP 中 继 方 式 ; 如 果 RADIUS 服 务 器 处 


























LL 体 采用 EAP 终结 
能 力 比较 强 ， 能 够 解析 大 晶 





配置 以 上 接口 的 接 入 控制 方式 。 命 令 中 的 
选项 参见 前 面 第 2 步 说 明 

缺 省 情况 下 ，802.1x 在 指定 接口 上 进行 接 
入 控制 的 方式 为 基于 MAC 地 址 方式 , 可 用 
undo dotlx port-method interface 命令 恢复 
802.1x 在 以 上 接口 的 接 入 控制 为 缺 省 方式 
































用 户 的 EAP 报 文 后 ] 



































在 系统 视图 
下 为 一 个 或 
多 个 接口 批 
量 配 置 接 入 
控制 方式 


在 具体 接口 
视图 下 为 单 
个 接口 配置 
接 入 控制 方 
a 





FE 信 息 ， 而 设备 端 对 EAP 报 文采 月 





有 “EAP 中 


( 续 表 ) 

















于 





理 能 力 不 是 很 好 ， 同 时 又 需要 解析 大 量 EAP 报 文 并 完成 认证 ， 建 议 采 用 EAP 终结 方式 ， 由 设备 端 帮助 
RADIUS 服务 器 完成 前 期 的 EAP 解 析 工 作 。 但 只 有 采用 RADIUS 协议 作为 认证 服务 器 时 ，802.1x 用 户 的 认 
证 方式 才 可 以 配置 为 EAP 中 继 方式 。 


用 户 认证 方式 只 能 在 系统 视图 

















下 全 局 配置 ， 








eap |pap } 命 令 即 可 。 命 令 中 的 选项 说 明 如 下 。 














只 需 在 系统 视图 下 使 用 dotlx authentication-method { chap | 














(1) chap: 多 选 一 选项 ， 指 定 采 用 CHAP 的 EAP 终 结 认证 方式 。 

(2) eap: 多 选 一 选项 ， 指 定 采 用 EAP 中 继 认 证 方式 。 

(3) pap: 多 选 一 选项 ， 指 定 采 用 PAP 的 EAP 终 结 认证 方式 。 

缺 省 情况 下 ，802.1x 用 户 认证 方式 为 CHAP 认 证 ， 可 用 undo dot1lx authentication-method 命 令 恢 复 802.1x 
用 户 的 认证 方式 为 缺 省 的 CHAP 认 证 。 










































































18.2.5 〈 可 选 ) 使 能 MAC 旁 路 认证 功能 














对 于 无 法 安装 和 无 法 使 用 802.1x 客户 端 软件 的 终端 (如 打印 机 〉 ， 可 使 能 MAC 旁 路 认证 功能 ， 使 这 

些 用 户 在 802.1x 认 证 过 程 中 使 用 用 户 的 MAC 地 址 作为 用 户 名 和 密码 上 送 至 认证 服务 器 进行 MAC 认 证 (具体 
参见 18.1.3 节 ) 。 
在 未 使 能 802.1x 功 能 的 接口 上 配置 了 MAC 旁 路 认证 功能 后 ， 将 会 同时 使 能 接口 的 802.1x 认 证 功能 ， 且 
首先 尝试 的 还 是 802.1x 认 证 ， 因 为 此 时 的 MAC 认 证 仅 是 802.1x 认 证 失败 后 的 一 种 额外 认证 方式 选择 (这 也 
就 是 “ 旁 路 * 和 含义 )。 但 在 使 能 了 MAC 旁 路 认证 功能 的 接口 下 ， 如 果 想 要 使 那些 无 法 安装 和 使 用 802.1x 客 
户 端 的 终端 快速 地 通过 认证 ， 则 还 可 开启 “ 旁 路 认证 过 程 中 优先 进行 MAC 认 证 ”功能 ， 使 接口 优先 对 这 些 用 
户 进行 MAC 认 证 ， 仅 在 MAC 认 证 失败 后 才 触发 802.1x 认 证 ， 以 提高 用 户 认证 通过 效率 。 

MAC 旁 路 认证 功能 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 配置 ， 
步骤 如 表 18-8 所 示 。 
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/加 
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表 18-8 MAC 旁 路 认证 的 配置 步 又 











system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 


在 系统 视图 下 批量 为 多 个 接口 使 能 MAC 旁 

路 认证 功能 。 命 令 中 的 参数 说 明 如 下 。 

(1) finterface-fype interface-number] [ to interface- 

number2 ] }: 指定 要 使 能 MAC 旁 路 认证 的 
-个 接口 或 者 一 个 连续 范围 的 多 个 接口 

(2) &<1-10>: 表示 前 面 的 {interface-type 

interface-number] [to interface-number2] } 

参数 最 多 可 以 有 10 个 

缺 省 情况 下 ， 未 使 能 接口 的 MAC 旁 路 认证 功 

能 ， 可 用 undo dotlx mac-bypass { interface 









dotlx mac-bypass interface 

{ interface-type interface-number] 
[to interface-number2 ] &<1-10> 
例如 : [HUAWEI] dotlx 
mac-bypass interface 
gigabitethernet 0/0/1 to 0/0/4 


iD 





{ interface-type interface-number'l [ to interface- 在 系 统 视 
number2 ] } &&<1-10> } 命 令 去 使 能 指定 接口 图 和 网 
的 MAC 旁 路 认证 功能 ， 但 此 时 会 同时 关闭 最 站 下 
指定 接口 的 802.1x 认证 功能 全 二 
(可 选 ) 在 系统 视图 下 批量 为 多 个 接口 使 能 2 

学 证 


旁 路 认证 过 程 中 优先 进行 MAC 认证 功能 ， 








dotlx mac-bypass mac-auth-first 
interface { interface-type 
interface-number!l [to interface- 
number2 ] } &<1-10> 

例如 :; [HUAWEI] dotlx 
mac-bypass mac-auth-first 
interface gigabitethernet 0/0/1 to 
0/0/4 





其 中 的 参数 说 明 参 见 与 第 2 步 的 对 应 参数 
相同 

缺 省 情况 下 ， 示 开启 旁 路 认证 过 程 中 优先 
进行 MAC 认证 功能 ， 可 用 undo dotlx 
mac-bypass mac-auth-first interface 
{ interface- type interface-numberl [ to 
interface-number2 ] } &<1-10> 命 令 在 指定 
接口 上 去 使 能 旁 路 认证 过 程 中 优先 进行 


| MAC 认证 功能 








( 续 表 ) 


说 明 





interface interface-type 
interface-number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 


键入 要 配置 MAC 旁 路 认证 功能 的 接口 , 进 
入 接口 视图 





dotlx mac-bypass 
例如 : [HUAWEI- 
GigabitEthernet0/0/1]dotlx 
port-method port 


在 以 上 接口 上 使 能 MAC 旁 路 认证 功能 

缺 省 情况 下 ,未 使 能 接口 的 MAC 旁 路 认 
证 功能 ， 可 用 undo dotlx mac-bypass 命 
令 去 使 能 以 上 接口 的 MAC 旁 路 认证 功 
能 ,但 此 时 会 同时 关闭 以 上 接口 的 802.1x 
认证 功能 








dotlx mac-bypass mac-auth-first 


例如 : [HUAWEI- 
GigabitEthernet0/0/1]dotlx 
mac-bypass mac-auth-first 





(可 选 ) 在 以 上 接口 上 使 能 旁 路 认证 过 程 
中 优先 进行 MAC 认证 功能 。 缺 省 情况 
下 ， 接 口 未 开启 旁 路 认证 过 程 中 优先 进 
行 MAC 认证 功能 ， 可 用 undo dotlx 


mac-bypass mac-auth-first 命令 在 以 上 
接口 上 去 使 能 旁 路 认证 过 程 中 优先 进行 
MAC 认证 功能 





18.2.6 〈 可 选 ) 配置 接口 允许 接 入 的 最 大 802.1x 认 证 用 户 数 














考虑 到 设备 性 能 的 
802.1x 认 证 | 























j 户 数 。 这 样 ， 当 通过 认可 











直接 丢弃 。 但 在 配置 接口 允许 接 入 的 最 大 用 








在 具体 接 
口 视图 下 
为 单个 接 
口 配置 
MAC 旁 路 
认证 











民 制 ， 可 配置 每 个 接口 允许 接 入 的 最 大 802.1x 认 证 上 
E 的 用 户 数 至 























j 户 数量 ， 以 限 

















I 达 配 置 的 最 大 数 时 ， 接 
























































户 数 量 之 前 ， 若 该 接口 下 的 在 线 用 





户 数 量 








此 时 不 会 影响 在 线 用 户 ， 只 会 限制 后 续 请 求 接 入 的 用 户 。 


说 明 




















此 功能 只 在 接口 的 接 入 控 人 
































接口 允许 接 入 的 最 大 ) 

















] 户 数量 将 




















可 上 线 ， 有 具体 参见 本 章 18.2.3 节 。 


另外 ， 每 个 S 系 列 交换 机 都 有 一 个 整 机 并 发 802.1x 认 证 用 
户 数 量 为 128， 而 S3700 系 列 为 512，S5700/6700 系 列 为 256，S7700/9300/9300E/9700 系 列 为 2048 x 





证 并 发 用 


























自动 设置 为 1， 因 为 此 时 接 












































只 需 一 个 用 户 认 证 成 功 ， 其 他 | 





央 并 发 访问 的 
的 后 续 用 户 的 802.1x 认 证 请 求 将 
已 经 超过 


此 最 大 值 ， 














由 方式 为 基于 MAC 地 址 方式 时 有 效 。 当 接口 接 入 模式 为 基于 接口 方式 时 ， 























户 无 需 认证 即 





户 数 的 限制 。S2700 系 列 允 许 的 最 大 802.1x 认 


接口 板 槽 位 数 。 在 设备 上 各 接口 上 配置 的 最 大 802.1x 认 证 用 户 数 之 和 不 能 大 于 整 机 的 最 大 并 发 用 户 数 ， 否 
则 有 些 接 口上 接 入 的 802.1x 认 证 用 户 数 虽然 没有 达到 设置 的 限制 ， 但 仍 不 能 
接口 允许 接 入 的 最 大 802.1x 认 证 用 户 数 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接 





























个 接口 配置 ， 具 体 步 又 如 表 18-9 所 示 


表 18-9 接 








o 











口 允许 接 入 的 最 大 802.1x 认 证 | 



































功 通过 认证 。 




















j 户 数 的 配置 步 又 


口 视图 下 为 单 





说 明 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





dotlx max-user user-number 
interface { interface-type interface- 
number! [ to interface-number2] } 
&<1-10> 

例如 : [HUAWEI] dotlx max-user 
50 interface gigabitethernet 0/0/1 
to 0/0/4 


在 系统 视图 下 批量 为 多 个 接口 配置 允许 接 
入 的 最 大 802.1x 认证 用 户 数量 。 命 令 中 的 
参数 说 明 如 下 。 

(1) user-number: 指定 接口 允许 接 入 的 最 大 
802.1x 认证 用 户 数量 。 不 同系 列 交换 机 的 取 
值 范围 不 同 : 除 S2700-52P-EI 、 

S2700-52P-PWR-EI 以 外 的 S2700EI 子 系列 
为 1 一 8 的 整数 ，S2700-52P-EI、S2700- 
52P-PWR-EI 子 系列 , 以 及 S3700/5700/6700 
系列 为 1 一 256 的 整数 ，S7700/9300/ 
9300E/9700 系列 为 1 一 2 048 的 整数 

(2 ) {interface-type interface-mumberl [to 
interfuce-number2 ] }: 指定 要 配置 允许 接 入 
的 最 大 802.1x 认证 用 户 数量 的 一 个 接口 或 
者 一 个 连续 范围 的 多 个 接口 

(3) &<1-10>: 表示 前 面 的 {interface-type 
interface-numberl [to interface-number2] } 
参数 最 多 可 以 有 10 个 

缺 省 情况 下 , 接口 下 允许 接 入 的 最 大 802.1x 
用 户 数 量 为 对 应 系列 交换 机 允许 接 入 的 最 
大 用 户 数 ， 可 用 undo dotlx max-user 
[ user-number ] interface { interface-type 
interface-number!l [ to interface-number2 
&<1-10> 命 令 恢复 指定 接口 下 允许 接 入 
最 大 802.1x 认证 用 户 数量 为 缺 省 值 


的 


在 系统 视 
图 下 为 一 
个 或 多 个 
接口 批量 
配置 允许 
接 入 的 最 
大 802.1x 
认证 用 户 
数 





interface interface-type interface- 
number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 


键入 要 配置 允许 接 入 的 最 大 802.1x 认证 
户 数 的 接口 ， 进 入 接口 视图 





dotlx max-user user-number 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] dotlx 
max-user 30 





18.2.7 〈 可 选 ) 配置 802.1x 认 证 的 定时 器 














配置 在 以 上 接口 下 允许 接 入 的 最 大 802.1x 
认证 用 户 数 参数 user-number 取 值 范围 
参见 第 2 步 该 参数 说 明 

缺 省 情况 下 , 接口 下 允许 接 入 的 最 大 802.1x 
认证 用 户 数 量 为 对 应 系列 交换 机 允许 接 入 
的 最 大 用 户 数 ， 可 用 undo dotlx max-user 
[ user-number ] 命 令 恢复 以 上 接口 下 允许 接 
入 的 最 大 802.1x 认证 用 户 数 量 为 缺 省 值 








在 具体 接 
口 视图 下 
为 单个 接 
口 配置 允 
许 接 入 的 
最 大 
802.1x 认 
证 用 户 数 





802.1x 在 运行 过 程 中 会 启动 以 下 多 个 定时 器 以 控制 客户 端 、 设 备 端 和 服务 器 端 之 间 的 报 文 交互 《不 过 ， 


一 般 情况 下 建议 保持 这 些 定 时 器 的 缺 省 值 ) 。 








(1) 认证 服务 器 超时 定时 器 (server-timeout〉: 当 设 备 端 向 认证 服务 器 发 送 RADIUS Access-Request 
请 求 报 文 后 ， 设 备 端 启动 此 定时 器 。 阁 在 该 定时 器 设置 的 时 长 内 ， 设 备 端 未 收 到 认证 服务 器 的 响应 ， 则 将 


重 发 认证 请 求 报 文 。 


(2) 客户 端 认 证 超时 定时 器 〈 dlient-timeout ) : 当 设 备 端 向 客户 端 发 送 了 EAP-Request/MD5 Challenge 
请 求 报 文 后 ， 设 备 端 启动 此 定时 器 。 若 在 该 定时 器 设置 的 时 长 内 ， 设 备 端 没 有 收 到 客户 端的 响应 ， 则 设备 





端 将 重 发 该 报 文 。 





(3) 用 户 名 请 求 超时 定时 器 〈tx-period) : 该 定时 器 定义 了 两 个 时 间 间 隔 。 一 个 是 在 客户 端 主动 发 起 
认证 的 情况 下 ， 当 设备 端 内 客户 端 发 送 EBAP-RequesVIdentity 请 求 报 文 后 ， 设 备 端 启动 该 定时 器 。 如 有 果 在 该 





定时 器 设置 的 时 间 间 隔 内 设备 端 没有 收 到 客户 端的 响应 ， 则 设备 端 将 向 客户 端 习 





发 认 订 





FE 请求 报 文 。 另 一 个 





是 为 兼容 不 主动 发 送 EAPOL-Start 连 接 请 求 报 文 的 客户 端 ， 设 备 端 会 定期 以 组 播 方式 发 送 EAP- 





RequestIdentity 请 求 报 文 来 检测 客户 端 。 





以 上 三 种 802.1x 认 证 定时 器 缺 省 均 为 开局 的 ， 














过 


























配置 方法 也 很 简 和 





， 只 需 在 系统 视图 





下 使 用 dotlx timer { 








client-timeout client-timeout-value | server-timeout server-timeout- value | tx-period tx-period-value } 命令 配 置 即 


可 。 命 令 中 的 参数 说 明 如 下 。 














(1)》 dlient-timeout client-timeout-value: 多 选 一 参数 ， 配 置 客户 端 认 证 超时 定时 器 ， 取 值 范 围 为 1 一 120 
的 整数 秒 。 缺 省 情况 下 ， 客 户 端 认证 超时 定时 器 为 30s。 
多 选 一 参数 ， 配 置 认 证 服务 器 超时 定时 器 ， 取 值 范围 为 1 一 
120 的 整数 秒 。 缺 省 情况 下 ， 认 证 服务 器 超时 定时 器 为 30s 


























(2) server-timeout server-timeout-value: 





(3) tx-period tx-period-value: 多 选 一 参数 ， 配 置 发 送 认 训 




















数秒 。 缺 省 情况 下 ， 发 送 认证 请 求 超 时 定时 器 为 30s。 
可 分 别 执行 以 上 命令 为 不 同 定时 器 进行 设置 ， 可 用 undo dotlx timer { client-timeout | server-timeout | tx- 
period } 命令 恢复 802.1x 各 项 定时 器 参数 为 缺 省 值 。 


18.2.8 〈 可 选 ) 配置 802.1x 认 证 的 静默 功能 

































































请求 的 超时 定时 器 ， 取 值 范围 为 1 一 120 的 整 

















为 了 阻止 那些 非法 用 户 频繁 地 进行 认证 尝试 ， 可 以 在 设备 端 使 能 静默 功能 ， 这 样 菜 一 802.1x 用 户 在 60s 




















内 认证 失败 的 次 数 超过 规定 的 值 时 就 会 将 该 用 户 静 默 一 段 时 间 ， 阻 止 该 用 户 继续 尝试 认证 〈 在 许多 系统 中 
都 有 这 样 的 功能 ) ， 在 静默 周期 内 直接 丢弃 该 用 户 的 802.1x 认 证 请 求 。 
802.1x 认证 静默 功能 是 在 系统 视图 下 全 局 配置 的 (不 是 针对 具体 接口 配置 的 ) ， 























18-10 所 示 。 


表 18-10 802.1x 认 证 静默 功能 的 配置 步 


步骤 命令 











让 





台 


| 





说 明 











具体 的 配置 步骤 如 表 





System-view 


例如 : <HUAWEI> system-view 


进入 系统 视图 





dotlx quiet-period 
2 例如 : [HUAWEI] dotlx 
quiet-period 


使 能 静默 功能 。 缺 省 情况 下 ， 未 使 能 静默 功能 ， 可 用 undo 
dotlx quiet-period 命令 去 使 能 静默 定时 器 功能 





dotlx quiet-times fail-times 
3 例如 : [HUAWEI] dotlx 
quiet-times 5 


配置 802.1x 用 户 在 被 静默 前 60s 内 允许 认证 失败 的 次 数 ， 
取 值 范围 为 1 一 10 的 整数 ,。 缺 省 情况 下 ,允许 认证 失败 的 次 
数 为 3 次 ， 可 用 undo dotlx quiet-times 命令 恢复 为 缺 省 值 





dotlx timer quiet-period 
quiet-period-value 

例如 : [HUAWEI] dotlx 
timer quiet-period 100 

















配置 一 旦 达到 第 2 步 所 设置 的 认证 失败 次 数 而 对 该 用 户 静 
默 的 时 长 ， 取 值 范围 为 10 一 3 600 的 整数 秒 。 缺 省 情况 下 ， 
认证 失败 用 户 处 于 静默 的 时 间 为 608， 可 用 undo dotlx 
timer quiet-period 命令 恢复 为 缺 省 值 














18.2.9 〈 可 选 ) 配置 对 802.1x 认 证 用 户 进行 重 认证 












































如 果 管 理 员 在 认证 服务 器 上 修改 了 某 一 用 户 
































时 如 果 用 户 已 经 在 线 ， 则 需要 及 时 对 该 用 户 进 行 重 认 证 ， 以 确保 用 户 的 合法 性 。 
(1) 对 指定 接口 下 所 有 在 线 802.1x 用 户 进行 周期 重 认证 ; 








对 802.1x 用 户 进行 重 认 证 有 两 种 方式 : 




















(2) 对 指定 MAC 地 址 的 在 线 802.1x 用 户 进行 





































































































体 配 置 ， 具 体 步骤 如 表 18-11 所 示 。 


重 认 证 ， 且 仅 进 行 一 次 重 认证 。 
配置 对 802.1x 用 户 进行 重 认 证 功能 后 ， 设 备 将 会 把 保存 的 在 线 用 户 的 认证 参数 发 送 到 认证 服务 器 进行 习 
认证 。 如 果 认 证 服务 器 上 用 户 的 认证 信息 没有 变化 ， 则 用 户 正常 在 线 ， 如 果 用 户 的 认 i 
用 户 会 被 下 线 ， 然 后 需要 用 户 根据 更 改 后 的 认证 参数 重新 进行 接 入 认证 。 
对 802.1x 认 证 用 户 进行 重 认证 可 在 系统 视图 下 为 多 个 接 

































































9 信息 ， 从 而 更 改 用 户 的 访问 权限 、 授 权 属 性 等 参数 。 此 











an 















































FE 信 恩 ,更改 ， 则 该 





































































































表 18-11 对 802.1x 用 户 进 行 重 认 证 的 配置 步骤 











进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 具 























system-view 
例如 : <HUAWEI> 
system-view 


进入 系统 视图 





dotlx reauthenticate 
interface { interface- 
type interface-number] 
[to interface-number2] } 
&<1-10> 


i 例如 : [HUAWEI] dotlx 


口 下 所 有 


在 线 reauthenticate interface 


gigabitethernet 0/0/1 to 


802.1x 用 
0/0/4 


户 进 行 周 
期 重 认证 


interface interface-type 
interface-number 

例如 : [HUAWEI] 
interface gigabitethernet 
0/0/1 








dotlx reauthenticate 
例如 : [HUAWEI- 

GigabitEthernet0/0/1] 
dotlx reauthenticate 


对 指定 接 





在 系统 视图 下 批量 为 多 个 接口 使 能 对 在 
线 802.1x 认证 用 户 进行 周期 重 认 证 功 
能 。 命 令 中 的 参数 说 明 如 下 。 

(1) { interface-type interface-numberl [to 
interface-number2 ] }: 指定 要 使 能 802.1x 
周期 重 认证 功能 的 一 个 接口 或 者 一 个 连 
续 范围 的 多 个 接口 

(2) &<1-10>: 表示 前 面 的 {interface- 
type interface-number!] [to interface-num 
ber2 ] } 参 数 最 多 可 以 有 10 个 

缺 省 情况 下 ,未 使 能 接口 对 在 线 802.1x 认 
证 用 户 进行 周期 重 认 证 功能 ， 可 用 undo 
dotlx reauthenticate interface { interface- 
type interface-number] [ to interface- 
number2 ] } &<1-10> 命 令 去 使 能 指定 接 
口 对 在 线 802.1x 认证 用 户 进行 周期 重 
认证 功能 


在 系统 视 
图 下 为 
个 或 多 个 
接口 批量 
配 置 对 
802.1x 认 
证 用 户 进 
行 重 认证 


在 具体 接 
口 视图 下 
为 单个 接 
口 配置 对 
在 线 
802.1x 认 
证 用 户 进 
行 周期 重 
认证 功能 


键入 要 配置 对 802.1x 用 户 进行 重 认 证 的 
接口 ， 进 入 接口 视图 





使 能 以 上 接口 对 在 线 802.1x 认证 用 
户 进行 周期 重 认证 功能 。 缺 省 情况 
下 ， 未 使 能 接口 对 在 线 802.1x 认证 
用 户 进行 周期 重 认 证 功能 ， 可 用 
undo dotlx reauthenticate 命令 去 
使 能 以 上 接口 对 在 线 802.1x 认证 用 
户 进行 周期 重 认证 功能 


在 具体 接口 视 
图 下 为 单个 接 
口 配置 对 在 线 
802.1x 认证 用 
户 进 行 周期 重 
认证 功能 





口 下 所 有 
在 线 

802.1x 用 例如 : [HUAWEI- 

户 进 行 周 GigabitEthernet0/0/1] 


期 重 认证 quit 


退出 接口 视图 ， 返 回 系统 视图 





dotlx timer 
reauthenticate-period 
reauthenticate-period 
例如 : [HUAWEI] dotlx 
timer reauthenticate- 
period 360 


(可 选 ) 配 置 802.1x 认证 重 认 证 周期 , 取 值 范围 为 60 一 
7 200 的 整数 秒 。 缺 省 情况 下 ，802.1x 的 重 认证 周期 时 间 
为 3600s， 可 用 undo dotlx timer reauthenticate-period 
命令 恢复 对 802.1x 认证 用 户 进 行 重 认 证 的 周期 为 缺 
省 值 





MAC 地 
址 的 在 线 
802.1x 用 
户 进行 重 

认证 address 00e0-fc01-0005 


dotlx reauthenticate 
mac-address 
mac-address 

例如 : [HUAWEI] dotlx 
reauthenticate mac- 





18.2.10 〈 可 选 ) 配置 802.1x 在 线 用 户 握手 功能 





为 了 确保 设备 端 及 时 了 解 在 线 上 
的 用 户 发 送 握手 请 求 报 文 ， 如 果 用 户 在 最 大 


以 减少 被 这 些 月 





使 能 对 指定 MAC 地 址 的 在 线 802.1x 认证 用 户 进行 
重 认 证 功能 ， 仅 进行 一 次 认证 。 参 数 mac-address 
用 来 指定 进行 重 认证 的 802.1x 认证 用 户 的 MAC 
地 址 , 格式 为 H-H-H, 其 中 HH 为 1 至 4 位 的 十 六 进 
制 数 

缺 省 情况 下 ， 未 使 能 对 指定 MAC 地 址 的 在 线 802.1x 
认证 用 户 进行 重 认证 功能 























户 保持 的 在 线 资源 消耗 。 





i 
注意 











( 续 表 ) 


有 户 情 况 ， 可 配置 在 线 用 户 握 手 功能 。 这 样 设备 将 定期 向 通过 802.1x 认 证 
传 次 数 内 没有 应 答 ， 设 备 端 就 会 主动 将 用 户 置 为 下 线 状 态 ， 


T 























如 果 802.1x 客 户 端 不 支持 与 设备 进行 握手 报 文 的 交互 ， 则 握手 周期 内 设备 将 不 会 收 到 握手 回应 报 文 。 
此 ， 为 了 防止 设备 错误 地 认为 用 户 下 线 ， 需 要 将 在 线 用 户 握手 功能 关闭 。 

802.1x 在 线 用 户 握手 功能 也 是 需要 在 系统 视图 下 全 局 配置 的 〈 不 是 针对 有 具体 接口 配置 ) ， 有 具体 的 配置 
步骤 如 表 18-12 所 示 。 















































表 18-12 802.1x 在 线 用 户 握 手 功能 的 配置 步骤 










说 明 








System-view 
例如 : <HUAWEI> system-view 






进入 系统 视图 


使 能 设备 与 802.1x 在 线 用 户 的 担 手 功能 。 缺 省 情况 
F, 未 使 能 设备 与 802.1x 在 线 用 户 的 握手 功能 , 可 用 
undo dotlx handshake 命令 去 使 能 设备 与 802.1x 在 线 
用 户 的 握手 功能 









dotlx handshake 
2 例如 : [HUAWEI] dotlx 
handshake 





( 续 表 ) 














说 明 
(可 选 ) 配置 802.1x 认证 握手 报 文 的 类 型 〈 仅 对 配置 
该 命令 后 上 线 的 用 户 生效 ， 对 已 经 在 线 的 用 户 无 效 )。 
命令 中 的 选项 说 明 如 下 。 
(1) request-identity: 二 选 一 选项 ， 指 定 802.1x 认证 
握手 报 文 的 类 型 为 request-identity 
3 {raquoat mientty! srpabal paris} (2) srp-shal-part2: a - 选 进项 指定 802.1x 认证 
例如 : [HUAWEI] dotlx handshake 握手 报 文 的 类 型 关 2 

ket-type request-identity 和 Mi Pe i 
人 不 同 厂商 市 设备 支持 的 握手 报 文 类 型 不 一 样 ， 缺 省 情 
况 下 ,华为 S 系列 交换 机 的 802.1x 认证 握手 报 文 的 类 
型 是 request-identity， 可 用 undo dotlx handshake 
packet-type 命令 恢复 为 缺 省 类 型 
(可 选 ) 配置 向 同一 用 户 发 送 认证 请 求 报 文 的 最 大 次 
数 ， 取 值 范围 为 1 一 10 的 整数 。 缺 省 情况 下 ， 向 同一 
dotlx retry max-retry-value 用 户 发 送 认 ped el 可 用 undo 
4 dotlx retry 命令 恢复 为 缺 省 类 型 

例如 : [HUAWEI] dotlx retry 5 【说 明 】 本 命令 配置 的 向 802.1x 用 户 发 送 认证 请 求 的 

最 大 次 数 ， 包括 对 未 上 线 用户 的 发 送 的 认证 请 求 报 文 
次 数 以 及 对 已 上 线 用 户 发 送 的 握手 请 求 报 文 次 数 








dotlx handshake packet-type 
















dotlx timer handshake-period (可 选 ) 配置 设备 与 802.1x 在 线 用 户 的 握手 周期 ， 取 
handshake-period-value 值 范围 为 $ 一 1 024 的 整数 秒 。 缺 省 情况 下 ,握手 报 文 





例如 : [HUAWEI] dotlx timer 的 发 送 时 间 间 隔 为 60s， 可 用 undo dotlx 
handshake-period 100 timer handshake-period 命令 恢复 为 缺 省 值 








18.2.11 〈 可 选 ) 配置 GuestVLAN 功 能 





有 关 Guest VLAN 说 明 参 见 本 章 18.1.1 节 。 当 Guest VLAN 功 能 开启 之 后 ， 设 备 允 许 用 户 在 未 进行 802.1x 
认证 的 情况 下 即 可 访问 Guest VLAN 中 的 资源 ， 比 如 获取 客户 端 软 件 ， 升 级 客户 端 或 执行 其 他 一 些 用 户 升级 

Guest VLAN 功 能 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 具体 配置 ， 具 
体 步 又 如 表 18-13 所 示 。 













































































表 18-13 Guest VLAN 功 能 的 配置 步骤 








system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





authentication guest-vlan 
vlan-id interface { interface-type 
interface-number! [to interface- 
] number2 ] } &<1-10> 

例如 : [HUAWEI] authentication 
guest-vlan 10 interface 
gigabitethernet 0/0/1 to 0/0/4 








在 系统 视图 下 批量 为 多 个 接口 配置 加 入 的 

Guest VLAN。 命 令 中 的 参数 说 明 如 下 。 

(1) vlan-id: 指定 以 上 接口 要 加 入 的 Guest VLAN， 

取 值 范围 为 1 一 4 094 的 整数 

(2) {interface-type interface-numberl [to interface- 

number2 ] }: 指定 要 加 入 指定 的 Guest VLAN 的 
-个 接口 或 者 一 个 连续 范围 的 多 个 接口 

(3 ) &<1-10> : 表示 前 面 的 {interface-type 

interface-number1 [to interface-number2 ] } 参 数 

最 多 可 以 有 10 个 

缺 省 情况 下 ， 接 口 下 未 配置 要 加 入 的 Guest 

VLAN, 可 用 undo authentication guest-vlan 

[ vian-id ] interface { interface-type interface- 

number] [ to interface-number2 ] } &<1-10> 命 令 

删除 接口 上 配置 的 Guest VLAN 





在 系统 
视图 下 
为 多 个 
接口 批 
量 配 置 
加 入 的 
Guest 
VLAN 





命令 


说 明 





interface interface-type 


interface-number 
例如 : [HUAWEI]interface 


gigabitethernet 0/0/1 
authentication guest-vlanv/an-id 
例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
authentication guest-vlan 10 





18.2.12 〈 可 选 ) 配置 Restrict VLAN 功 能 














键入 要 配置 加 入 Guest VLAN 的 接口 ， 进 入 接 
口 视图 


配置 在 以 上 接口 要 加 入 的 Guest VLAN， 取 值 范围 
为 1 一 4 094 的 整数 。 缺 省 情况 下 ， 接 口 下 未 配置 
GuestVLAN， 可 用 undo authentication guest-vlan 
[win-id] 命 令 删 除 接口 上 配置 的 GuestVLAN 



































而 能 够 访问 Restrict VLAN 中 的 资源 。S2700/3700 系 列 不 支持 该 项 配置 。 


ee 
注意 


这 里 的 “认证 失败 ?是 指认 证 服务 器 因 某 种 原因 而 明确 拒绝 用 户 认 订 

















TE 











认证 超时 或 网 络 连接 断 开 等 原因 造成 的 认证 失败 。 





wi 


本 步骤 如 表 18-14 所 示 。 


x™ 


Restrict VLAN 功 能 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接 























表 18-14 Restrict VLAN 功 能 的 配置 步骤 





在 具体 
接口 视 
图 下 为 
单个 接 
口 配 置 
加 入 的 
Guest 

VLAN 





口 视图 下 为 单个 接口 





( 续 表 ) 


有 关 Restrict VLAN 说 明 参 见 本 章 18.1.1 节 。 为 了 满足 用 户 在 认证 失败 时 也 能 够 访问 人 条 些 网 络 资源 的 需 


求 ， 比 如 更 新 病毒 库 等 。 可 在 设备 接口 上 配置 Restrict VLAN， 使 用 户 在 认证 失败 时 被 加 入 Restrict VLAN 进 


通过 ， 比 如 用 户 密码 错误 ， 而 不 是 


具体 配置 ， 





步骤 


命令 


说 明 





System-view 
例 ”如 


system-view 


<HUAWEI> 


进入 系统 视图 





[> 








authentication restrict-vlan 
vlan-id interface { interface-type 
interface-number! [to interface- 
number2 ] } &<1-10> 

例如 : [HUAWEI] authentication 
restrict-vlan 10 interface 
gigabitethernet 0/0/1 to 0/0/4 





在 系统 视图 下 批量 为 多 个 接口 配置 接口 加 入 的 
Restrict VLAN。 命 令 中 的 参数 说 明 如 下 。 

(1) vian-id: 指定 以 上 接口 要 加 入 的 Restrict 
VLAN， 取 值 范围 为 1 一 4 094 的 整数 

(2) {interface-type interface-numberl [to interface- 
number2 ] }: 指定 要 加 入 指定 的 Restrict VLAN 
的 一 个 接口 或 者 一 个 连续 范围 的 多 个 接口 

(3) &<1-10>: 表示 前 面 的 {interface-type 
interface-number1 [ to interface-number2 ] } 参 数 
最 多 可 以 有 10 个 

缺 省 情况 下 ， 接 口 下 未 配置 Restrict VLAN， 可 
用 undo authentication restrict-vlan [ vian-id ] 





interface { interface-type interface-numberl [ to 
interface-number2 ] } 人 有 <1-10> 命 令 删除 接口 上 
配置 的 Restrict VLAN 


在 系统 
视图 下 
为 多 个 
接口 批 
量 配 置 
加 入 的 
Restrict 
VLAN 














说 明 














interface interface-type interface- 
number 

例如 : [HUAWEI]interface 
gigabitethernet 0/0/1 


(可 选 ) 键入 要 配置 加 入 的 Restrict VLAN 的 接 
口 ， 进 入 接口 视图 


在 具体 
接口 视 
图 下 为 


















authentication restrict-vlan 
vlan-id 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
authentication restrict-vlan 10 


18.2.13 〈 可 选 ) 配置 Critical VLAN 功 能 











(可 选 ) 配置 在 以 上 接口 要 加 入 的 Restrict 
VLAN， 取 值 范围 为 1 一 4 094 的 整数 。 缺 省 情 
况 下 , 接口 下 未 配置 Restrict VLAN, 可 用 undo 
authentication restrict-vlan [ vian-id ] 命 令 删 除 
接口 上 配置 的 Restrict VLAN 








单个 接 
口 配置 
加 入 的 
Restrict 
VLAN 





( 续 表 ) 


有 关 Critical VLAN 说 明 参 见 本 章 18.1.1 节 。 配 置 Critical VLAN 功 能 之 后 ， 在 接 入 设备 与 认证 服务 器 之 间 


的 网 络 或 者 认证 服务 器 出 现 故 障 时 ，802.1x 认 证 用 户 将 被 加 入 Critical VLAN 进 而 能 够 访问 Critical VLAN 中 的 
资源 。S2700/3700 系 列 不 支持 该 项 配置 。 


We 
注意 








只 有 hybrid 接 口才 能 配置 Critical VLAN，trunk 接 口 和 access 接 口上 配置 Critical&mnbsp; VLAN 均 不 生效 。 


Critical VLAN 功 能 可 在 系统 视图 下 为 多 个 接 


具体 步骤 如 表 18-15 所 示 。 












































表 18-15 Critical VLAN 功 能 的 配置 步 又 

















口 进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 





具体 配置 ， 





步骤 命令 


说 明 





System-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





在 系统 视图 下 批量 为 多 个 配置 接口 加 入 的 
Critical VLAN。 命 令 中 的 参数 说 明 如 下 。 

(1) vian-id: 指定 以 上 接口 要 加 入 的 Critical VLAN， 
取 值 范围 为 1 一 4 094 的 整数 


da : :系统 

authentication eritical-vian (2) { interface-type interface-number] [to interface- a FF 
vlan-id interface { interface- number2 ] }: 指定 要 加 入 指定 的 Critical VLAN 为 多 

type interface-numberl [ to 的 一 个 接口 或 者 一 个 连续 范围 的 多 个 接口 接口 

2 interface-number2 ] } &<1-10> | (3) &<1-10>: 表示 前 面 的 { interfce-type interface- 量 配置 
例如 : [HUAWEI authentication | mmbper7 [ to interface-number2 ] } 参 数 最 多 可 以 | 二 二 人 
critical-vlan 10 interface 有 10 个 Wp 
gigabitethernet 0/0/1 to 0/0/4 缺 省 情况 下 ， 接 口 下 未 配置 Restrict VLAN， 可 et 














undo authentication critical-vlan [ v/an-id ] 
interface { interface-type interface-numberl [to 
interface-number2 ] } &<1-10> 命 令 删 除 接口 上 
配置 的 Critical VLAN 





authentication critical eapol- 
success interface { interface-ype 
interface-number! [ to interface- 
mumber2 ] } &<1-10> 

例如 ; [HUAWEI authentication 
critical eapol-success interface 
gigabitethernet 0/0/1 to 0/0/4 


authentication max-reauth-req 
limes interface { interface- 

type interface-numberl [to 
interface-number2 ] } &<1-10> 
例如 : [HUAWEI] authentication 
max-reauth-req 3 interface 
gigabitethernet 0/0/1 to 0/0/4 


interface interface-type interface- 
number 

例如 : [HUAWEI]interface 
gigabitethernet O/0O/1 
authentication critical-vlan 
vlan-id 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
authentication eritical-vlan 10 


在 系统 视图 下 批量 为 多 个 接口 将 用 户 加 入 
Critical-VLAN 后 向 用 户 回应 Eapol-Success 报 文 
功能 。 参 数 说 明 参 见 前 面 第 2 步 。 

缺 省 情况 下 ， 接 口 将 用 户 加 入 Critical-VLAN 后 
向 用 户 回 应 Eapol-Fail 报 文 功 能 ， 可 用 undo 
authentication critical eapol-success interface 
{ interface-type interface-number!l [ to interface- 
number2 ] 上 &<1-10> 命 令 配置 指定 接口 将 用 户 
加 入 Critical-VLAN 后 向 用 户 回应 Eapol-Fail 报 
文 功能 

在 系统 视图 下 批量 为 多 个 接口 对 Critical- Vlan 
用 户 触发 重 认证 的 最 大 次 数 。 参数 times 用 来 
指定 触发 重 认证 的 最 大 次 数 , 取 值 范围 为 1 一 
20 的 整数 ， 其 他 参数 参见 前 面 第 2 步 说 明 
缺 省 情况 下 ， 对 Critical-vlan 用 户 触发 重 认 证 的 
次 数 为 20， 可 用 undo authentication max- 
reauth-req [ times | interface { inieroce-DPe 
interface-numberl [ to interface-number2 ] } 
&<1-10> 命 令 恢 复 指定 接口 对 Critical-Vlan 用 户 
触发 重 认 证 的 最 大 次 数 为 缺 省 值 


键入 要 配置 加 入 Critical VLAN 的 接口 ， 进 入 接 
口 视图 


配置 在 以 上 接口 要 加 入 的 Critical VLAN, 取 值 范 
围 为 1 一 4 094 的 整数 。 缺 省 情况 下 ， 接 口 下 未 配 
管 Restrict VLAN， 可 用 undo authentication 
critical-vian [ vian-id ] 命 令 删 除 接口 上 配置 的 
Critical VLAN 





authentication eritical eapol- 
success 

例如 : [HUAWEI- 
GigabitEthernetO/OV1]jauthentic 
ation critical eapol-success 


authentication max-reauth-req 
limes 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
authentication max-reauth-req 3 








配置 以 上 接口 将 用 户 加 入 Critical-VLAN 后 
向 用 户 回应 Eapol-Success 报 文 功能 , 缺 省 情 
况 下 ， 将 用 户 加 入 Critical-VLAN 后 向 用 户 
回应 Eapol-Fail 报 文 功能 ， 可 用 undo 
authentication critical eapol-success 命令 恢 
复 为 缺 省 情况 

配置 以 上 接口 对 Critical-Vlan 用 户 触发 重 认证 的 
最 大 次 数 。 

缺 省 情况 下 ， 对 Critical-vlan 用 户 触发 重 认 证 的 
次 数 为 20， 可 用 undo authentication max- 
reauth-req 命令 恢复 为 缺 省 值 





在 系统 
视图 下 
为 多 个 
接口 批 
量 配置 
加 入 的 
Critical 
VLAN 


在 具体 
接口 视 
图 下 为 
单个 接 
口 配置 
加 入 的 
Critical 
VLAN 





( 续 表 ) 


18.2.14 〈 可 选 ) 配置 802.1x 认 证 的 接口 Dpen 功 能 

















在 802.1x 网 络 部 署 初期 (在 正式 使 用 时 不 要 配置 此 项 功能 ) ， 管 理 员 需 要 宏观 地 掌握 网 络 中 准备 接 入 
的 用 户 数 量 、 用 户 的 认证 方式 、 引入 用 户 证 书 有 效 性 等 信息 ， 这 时 可 使 能 接口 的 Open 功能 。 这 样 设备 端 多 
许 该 接口 下 的 用 户 不 需 经 过 认证 过 程 即 可 接 入 网 络 以 便 管理 员 获 取 其 所 需 信息 。S2700/3700 系 列 不 支持 该 


























项 配置 。 
说 明 


Open 功能 仅 在 基于 MAC 地 址 接 入 控制 方式 下 支持 ， 支 持 了 


Guest-vlan 授 权 。 开 局 端口 Open 功 能 后 ， 仅 支持 RADIUS 远 端 认 订 























证 。 
802.1x 认证 的 接口 
体 配 置 ， 


























Open 功能 可 在 系统 视图 








世 体 步骤 如 表 18-16 所 示 。 


表 18-16 802.1x 认 证 的 接口 Open 功 能 的 配置 步 台 

















FE 常 上 线 用 户 的 动态 VLAN 授 权 ， 不 支持 
E， 不 支持 本 地 、TACACS 认 证 以 及 Portal 认 


























下 为 多 个 接口 进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 具 


帘 



































说 明 





system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





authentication open interface 

{ interface-type interface-number] 
[to interface-number2 ] } 

也 &<1-10> 

例如 : [HUAWEI] authentication 
open interface gigabitethernet 
0/0/1 to 0/0/4 


在 系统 视图 下 批量 为 多 个 接口 使 能 Open 功能 。 
命令 中 的 参数 说 明 如 下 。 

(1) {interface-type interface-number] [to interface- 
number2 ] }: 指定 要 使 能 Open 功能 的 一 个 接口 
或 者 一 个 连 纪 的 多 个 接口 

(2) &<1-10>: 表示 前 面 的 { interface-type interface- 
numberl [to interface-number2 ] } 参 数 最 多 可 以 
有 10 个 

缺 省 情况 下 , 接口 未 使 能 Open 功能 , 可 用 undo 
authentication open interface { interface-type 
interface-numberl [ to interface-number2 ] } 
&&<1-10> 命 令 去 使 能 指定 接口 的 Open 功能 








在 系统 
视图 下 
为 多 个 
接口 批 
量 使 能 
Open 
功能 





interface interface-type interface- 
nmumber 





3 例如 [HUAWEIinterface 键入 要 使 能 Open 功能 的 接口 ， 进 入 接口 视图 
gigabitethernet 0/0/1 
thenticati 本 pr 所 i 
例如 [HUAWEL 在 以 上 接口 下 使 能 Open 功能 。 缺 省 情况 下 ， 接 
4 y 口 未 使 能 Open 功能 ， 可 用 undo authentication 


GigabitEthernet0/0/1] 
authentication open 





open 命令 去 使 能 以 上 接口 的 Open 功能 








在 具体 
接口 视 
图 下 为 
单个 接 
口 使 能 
Open 

功能 











18.2.15 〈 可 选 ) 配置 允许 DHCP 报 文 触 发 802.1x 认 证 




















在 802.1x 认 训 


E 网 络 中 ， 如 果 存 在 用 户 使 用 PC 操作 系统 (如 微软 Windows XP 系统 ) 自 带 的 802.1x 客 户 








端 ， 则 这 些 用 户 将 不 能 主动 触发 认证 。 这 时 ， 可 为 采用 DHCP 服 务 器 
文 触发 802.1x 认 证 功能 。 在 使 能 允许 DHCP 报 文 触发 802.1x 认证 后 ， 设 备 端 在 收 到 用 
的 802.1x 认 证 界 国 








后 即 触 发 对 用 户 的 802.1x 认 证 ， 此 时 用 户 终 端 将 自动 弹出 操作 系统 自 带 





入 用 户 名 与 密码 即 可 进行 认证 。 


另外 ， 通 过 使 能 























行 认证 ， 认 证 通过 后 | 
署 网 络 。 有 关 “ 快 速 部 署 ? 功 能 将 在 下 国 
配置 允许 DHCP 报 文 触 发 802.1x 认 证 的 方法 很 简单 ， 只 需 在 系统 视 















































DHCP 报 文 触发 802.1x 认证 功能 ， 可 使 用 户 能 够 利 ) 
j 户 即 可 访问 802.1x 客 户 端 下 载 界面 下 载 并 安装 802.1x 客 户 端 软件 ， 这 将 有 助 于 快速 部 





[mm 二 HH 


















































i118.2.17 节 介绍 。 

















图 








操作 系统 


自动 IP 地 址 的 环境 中 配置 允许 DHCP 报 














户 的 DHCP 请 求 报 文 
i。 用 户 按照 提示 输 




















2 








带 的 802.1x 客 户 端 进 


























下 使 用 dotlx dhcp-trigger 命 令 使 能 


DHCP 报 文 触 发 802.1x 认 证 功能 即 可 。 人 缺 省 情况 下 ， 未 使 能 DHCP 报 文 触 发 802.1x 认 证 功能 ， 可 用 undo dot1x 


dhcp-trigger 命 令 去 使 能 通过 DHCP 报 文 触 发 对 802.1xj 


18.2.16 (Ji 





在 802.1x 认 训 








FE 网络 中 ， 如 果 存 在 用 户 使 用 PC 操作 系统 《如 








端 ， 则 该 用 户 将 不 能 主动 触发 认 放 





FE。 此 时 可 配置 单 播报 文 触 发 802.1x 认 订 

















户 进行 身份 认证 的 功能 。 














微软 Windows XP 系统 ) 自 带 的 802.1x 客 户 
E 功 能， 使 设备 端 在 接收 到 客户 端 发 





送 的 ARP 或 DHCP 请 求 报 文 时 ， 就 可 以 主动 向 该 客户 端 发 送 单 播 认证 报 文 ， 以 触发 认证 。 用 户 PC 在 收 到 














让 























设备 发 来 的 认证 报 文 后 ， 会 自动 弹出 操作 系统 自 带 的 802.1x 认 证 界面 。 用 户 按照 提示 输入 用 户 名 与 密码 即 可 
进行 认证 。S2700/3700 系 列 不 支持 该 项 配置 。 

同样 ， 通 过 使 能 单 播报 文 触发 802.1x 认 证 功能 ， 也 可 使 这 类 用 户 能 够 利用 操作 系统 自 带 的 802.1x 客 户 端 
进行 认证 ， 认 证 通过 后 用 户 即 可 访问 802.1x 客 户 端 下 载 界面 下 载 并 安装 802.1x 客户 端 软件 ， 这 将 有 助 于 快 
速 部 署 网 络 。 有 关 “ 快 速 部 署 * 功 能 将 在 下 面 18.2.17 节 介绍 。 

单 播报 文 触发 802.1x 认 证 功能 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 具 
体 配 置 ， 具 体 步 又 如 表 18-17 所 示 。 












































































































































表 18-17 单 播报 文 触 发 802.1x 认 证 功能 的 配置 步骤 
步骤 命令 说 明 
System-view 要 
例如 : <HUAWEI> system-view 进入 系统 视图 
在 系统 视图 下 批量 为 多 个 接口 使 能 单 播报 文 触 
发 802.1x 认证 功能 。 命 令 中 的 参数 说 明 如 下 。 
(1) {interface-type interface-number] [to interface- 在 系统 
number2 ] }: 指定 要 使 能 单 播报 文 触发 802.1x 视图 下 
dotlx unicast-trigger interface | 认证 功能 的 一 个 接口 或 者 一 个 连续 范围 的 多 个 为 多 个 
{ interface-type interface-number] | 接口 接 [ | 批 
2 [to interface-number2 ] } &<1-10> | (2) &<1-10>: 表示 前 面 的 { interface-type interface- 量 使 能 
例如 : [HUAWEI] dotlx numberl1 [to interface-number2] } 参 数 最 多 可 单 播报 
unicast-trigger interface 以 有 10 个 文 触发 
gigabitethernet 0/0/1 to 0/0/4 缺 省 情况 下 ， 接 口 未 使 能 单 播报 文 触 发 802.1x 0029 二 交 
认证 功能 ， 可 用 undo dotlx unicast- trigger 证 功 能 
interface { interface-type interface-numberl [to 
interface-number2 ] } &<1-10> 命 令 去 使 能 指定 
接口 的 单 播报 文 触发 802.1x 认证 功能 
interface interface-type interface- 在 具体 
3 number 键入 要 使 能 单 播报 文 触发 802.1x 认证 功能 的 | 接口 视 
例如 : [HUAWEI]interface 接口 ， 进 入 接口 视图 图 下 为 
gigabitethernet 0/0/1 单个 接 
i 2 在 以 上 接口 下 使 能 单 播报 文 触发 802.1x 认证 | 口 使 能 
于 功能 。 缺 省 情况 下 ， 接 口 未 使 能 单 播报 文 触发 | 单 播报 
4 例 a [ss 802.1x 认证 功能 ， 可 用 undo dotlx unicast- | 文 触发 
GigabiltBlherne( YO/ dpts trigger 命令 去 使 能 以 上 接口 的 单 播报 文 倡 发 | 802.1x 认 
站 802.1x 认证 功能 证 功能 























18.2.17 〈 可 选 ) 配置 802.1x 快 速 部 署 功能 























因为 在 802.1x 认证 网 络 部 署 中 ， 每 个 客户 端 都 必须 安装 802.1x 客户 端 软件 。 如 果 要 为 每 一 个 接 入 用 户 
下 载 、 升 级 802.1x 客 户 端 软件 ， 则 工作 量 可 能 非常 大 。 这 时 ， 可 通过 为 用 户 配置 免 认 证 IP〈free-ip) 网 段 和 
用 户 HTTP 访问 URL 重 定向 功能 ， 实 现 用 户 802.1x 客 户 端的 快速 部 署 。 有 关 “ 快 速 部 署 功 能 ”详情 参见 18.1.1 
节 。S2700/3700/9300E 系 列 不 支持 该 项 配置 。 

说 明 

配置 了 免 认 证 IP 网 段 功 能 后 ， 前 面 介绍 的 Guest VLAN 、Critical VLAN 以 及 Restrict&nbsp; VLAN 功 能 将 
不 再 生效 。 

802.1x 快 速 部 署 功 能 需要 在 系统 视图 下 全 局 配置 ， 具 体 的 配置 步骤 如 表 18-18 所 示 。 

















































































































表 18-18 802.1x 快 速 部 署 功能 的 配置 步骤 





system-view : i 
4 FE 入 系统 视 区 
例如 , <HUAWEI> system-view | 进入 系统 视图 





配置 免 认 证 IP 网 段 ， 只 在 接口 授权 状态 为 auto 的 情况 下 
生效 。 命 令 中 的 参数 说 明 如 下 。 
(1) 娘 -addjess: 指定 免 认 证 网 段 的 卫 地 址 (是 一 个 网 络 
IP 地 址 )， 点 分 十 进 制 格式 
(2) mask-length: 二 选 一 参数 ， 指 定 以 上 免 认 证 网 段 也 
地 址 的 子 网 掩 码 长 度 
(3) mask-address: 二 选 一 参数 ， 指 定 以 上 免 认 证 网 段 P 
地 址 的 子 网 掩 码 
dotlx free-ip ip-address 缺 省 情况 下 ， 未 配置 免 认 证 IP 网 段 ， 可 用 undo dotlx 
{ mask-length | mask-address } free-ip { ip-address { mask-length | mask-address } | all } 命 
例如 : [HUAWEH dotlx free-ip | 令 恢 复 配置 的 免 认 证 IP 网 段 为 缺 省 情况 
192.168.1.0 24 【说 明 】〗 未 通过 802.1x 认证 的 用 户 在 没有 配置 free-ip 的 情 
况 下 ， 不 能 通过 DHCP 服务 器 动态 获得 IP 地址， 但 是 车 
配置 了 free-ip， 用 户 便 可 以 动态 获得 IP 地址。 当 802.1x 
用 户 通过 客户 端 主动 下 线 后 ， 为 了 防止 恶意 攻击 ， 用 户 会 
在 一 段 时 间 内 受到 限制 而 无 法 访问 免费 区 网 络 资源 
用 户 成 为 802.1x 快速 部 署 用 户 后 ， 不 能 访问 除 free-ip 网 
段 以 外 的 资源 , 但 能 够 访问 设备 的 一 些 资源 。 且 免 认 证 人 P 
网 段 可 配置 多 条 , 不 同 设备 最 多 支持 配置 的 free-ip 网 段 不 
一 样 ， 具 体 参 见 相 应 产品 手册 
配置 用 户 HTTP 访问 URL 重 定向 功能 ， 参 数 url-string 用 
来 指定 重 定 向 URL (为 802.1x 客户 端的 下 载 页 面 地 址 ， 
但 必须 free-ip 在 同一 个 网 段 内 , 否则 无 法 访问 指定 的 重 定 
dotlx url url-string 向 URL)， 为 1 一 200 个 字符 ， 区 分 大 小 写 
例如 : [HUAWEI] dotlx url 配置 好 重 定 向 URL 后 ， 当 用 户 通过 IE 访问 非 free-ip 网 段 
http:Wwww.123.com.cn 地 址 时 , 设备 会 将 用 户 访问 的 URL 重 定向 到 802.1x 客户 端 
下 载 页 面 ， 用 户 即 从 该 页 面 下 载 802.1x 客户 端 并 进行 安装 
缺 省 情况 下 ,未 配置 802.1x 认证 的 重 定向 URL, 可 用 undo 
dotlx url 命令 取消 配置 的 802.1x 认证 的 重 定向 URL 











18.2.18 〈 可 选 ) 配置 用 户 组 功能 









































在 NAC 实际 应 用 场景 中 ， 接 入 用 户 数量 众多 但 用 户 类 别 却 是 有 限 的 。 针 对 这 种 情况 ， 可 在 设备 上 创建 
用 户 组 ， 并 使 每 个 用 户 组 关联 到 一 组 ACL 规 则 ， 则 同一 组 内 的 用 户 将 共用 一 组 ACL 规则 。 这 时 ， 可 为 用 户 
组 配置 优先 级 以 及 VLAN， 不 同 用 户 组 内 的 用 户 即 具有 了 不 同 的 优先 级 以 及 网 络 访问 权限 。 这 将 使 管理 员 
更 灵活 地 管理 用 户 。 

用 户 组 功能 是 系统 视图 下 全 局 配置 的 ， 有 具体 的 配置 步骤 如 表 18-19 所 示 《〈S2700/3700/S9300E 系 列 不 文 持 
ji 













































































表 18-19 用 户 组 功能 的 配置 步 又 





System-view 
》 入 系统 视 民 
例如 :<HUAWEI> system-view 进入 系统 视图 


创建 用 户 组 并 进入 用 户 组 视图 。 参 数 group-name 用 来 指定 所 创 
po re de 建 的 用 户 组 名 称 ， 为 1 一 64 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 


2 例如 : [HUAWEI] user-group 


ts 缺 省 情况 下 ， 未 配置 用 户 组 ， 可 用 undo user-group 命令 


删除 已 创建 的 用 户 组 
在 以 上 用 户 组 下 绑 定 ACL.。 参 数 acl-number 用 来 指定 与 用 
户 组 绑 定 的 高 级 ACL 编号 ， 取 值 范围 为 3 000 一 3 999。 执 
行 该 命令 之 前 , 需 确 保 已 使 用 命令 acl 与 rule 创建 了 ACL 
访问 控制 列表 并 配置 了 ACL 规则 
【注意 】 用 户 组 下 绑 定 的 ACL 不 允许 被 修改 , 且 所 绑 定 的 ACL 
acl-id acil-number 总 数 不 能 超过 8 个 ， 所 有 ACL 规则 总 数 不 能 超过 128 个 
3 | 例如 ; [HUAWEFusergroup-abe] | 各 果 要 求 授权 到 用 户 组 下 的 所 有 用 户 的 网 络 访问 权限 相 
和 同 , 则 用 户 组 绑 定 的 ACL 中 的 规则 不 能 配置 有 源 IP 地 址 ， 
因为 这 时 用 户 组 中 只 有 IP 地 址 和 该 规则 中 的 源 IP 相同 的 
用 户 才能 够 匹配 该 ACL 规则 
缺 省 情况 下 ， 用 户 组 下 未 绑 定 ACL， 可 用 undo acl-id 
dcl-number 命令 删除 用 户 组 绑 定 的 指定 ACL 
配置 用 户 组 VLAN， 取 值 范围 为 1 一 4 094 的 整数 
【说 明 】 如 果 需 让 不 同 用 户 组 内 的 用 户 具 有 不 同 的 网 络 访 
user-vlan vlan-id 问 权 限 ， 则 可 使 用 本 命令 配置 用 户 组 VLAN。 这 样 ， 当 用 
4 例如 : [HUAWEI-user-group-abc] | 户 组 内 的 某 一 用 户 上 线 后 , 则 将 被 加 入 该 用 户 组 VLAN 进 
user-vlan 20 而 获取 该 用 户 组 的 网 络 访问 权限 
缺 省 情况 下 ， 未 配置 用 户 组 VLAN， 可 用 undo user-vlan 
命令 恢复 用 户 组 VLAN 为 缺 省 情况 
配置 用 户 组 优先 级 。 用 户 组 配置 优先 级 后 ， 用 户 组 中 的 用 
户 报 文 将 继承 该 优先 级 ， 即 不 同 的 用 户 报 文 具有 了 不 同 的 
优先 级 别 。 这 能 够 使 管理 员 更 加 灵活 地 管理 不 同类 别 的 用 
户 。 命令 中 的 参数 说 明 如 下 。 
WE| | 01》 8021p-value: 可 多 选 参数 ， 指 定 对 以 太 二 层 报 文 的 外 
3 : 理 优先 级 ， 取 值 范围 是 0 一 7 的 整数 
eee ls (2) dscp-value: 可 多 选 参数 ， 指 定 对 IP 报 文 的 处 理 优先 
级 ， 取 值 范围 是 0 一 63 的 整数 
缺 省 情况 下 ， 未 配置 用 户 组 优先 级 ， 可 用 undo remark 
{ 8021p 8021p-value | dsep dscp-value } “命令 取消 指定 的 
用 户 组 优先 级 

















( 续 表 ) 


命令 说 明 





quit 
例如 ; [HUAWEI-user-group-abc] | 退出 用 户 组 视图 ， 返 回 系统 视图 
quit 
使 能 以 上 用 户 组 的 用 户 组 功能 。 只 有 在 使 能 用 户 组 功能 
user-group group-name enable 后 ， 上 面 各 项 配置 才能 生效 。 但 使 能 用 户 组 功能 后 ， 则 不 
例如 : [HUAWEI] user-group | 能 修改 该 用 户 组 与 ACL 的 绑 定 关系 

abc enable 缺 省 情况 下 ， 未 使 能 用 户 组 功能 ， 可 用 undo user-group 
group-name enable 命令 去 使 能 指定 用 户 组 的 用 户 组 功能 

















18.2.19 802.1x 认 证 配置 管理 














在 完成 802.1x 认 证 配置 后 ， 可 执行 以 下 display 任 意 视图 命令 查看 已 配置 的 参数 信息 。 
(1) display dot1x [ statistics ] [ interface { interface-type interface-numberl [ to interface- number2 ] } &<1- 
10> ] : 查看 802.1x 的 配置 信息 。 
(2) display mac-address {authen |guest } [ interface-type interface-number |lvlanvlan-id ] * [ verbose ] : 查 
看 系统 当前 存在 的 authen 类 型 或 guest 类 型 的 MAC 地 址 表 项 。 
(3) display user-group [ group-name ] : 查看 用 户 组 的 相关 配置 信息 。 
(4) display access-user user-groupgroup-name: 查看 与 用 户 组 绑 定 的 所 有 用 户 的 简要 信息 。 
在 用 户 视图 下 执行 命令 reset dotlx statistics [ interface { interface-type interface- numberl [ to interface- 



































number2 ] } ] ， 清 除 802.1x 的 统计 信息 。 


18.2.20 802.1x 认 ji 


























配置 示例 











本 示例 拓扑 结 
网 络 运行 一 段 时 间 后 ， 
端的 网 络 访问 权限 采用 


RY 
山东 


证 服务 器 来 完成 。 本 示例 采用 基于 远程 RADIUS 服务 器 〈 如 图 中 耳 地址 为 192.168.2. 
证 方案 。 因 为 网 络 中 有 不 支持 802.1x 客 户 端的 打印 机 设备 ， 所 以 还 需要 在 对 应 接 
芷 压力 可 选 配置 快速 部 署 功能 ， 所 以 在 网 络 中 专门 架设 了 用 于 
源 的 Web 服 务 器 (如 图 中 的 192.168.3.0/24 网 段 中 的 各 服务 器 ) ， 并 设置 
免费 资源 的 Web 服 务 嚣 URL 上 “假设 
人体 的 配置 思路 如 下 〈 均 在 Switch 上 进 


另外 ， 为 了 减轻 管理 
客户 端 自行 下 载 客户 端 软 件 
URL 重 定向 功能 ， 把 
为 http://www.123.com.cn) 。 还 可 





构 如 图 18-9 


















































所 示 ， 某 公司 内 部 大 量 用 








发 现存 在 用 户 对 公司 内 
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RADIUS Server 
192.168.2.30 


Update Server 













1. 基本 配置 思路 分 析 
801.1x 只 是 一 利 
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Switch 
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:Free IP: 






192.168.3.0/24 







Web Server 


图 18-9 802.1x 认 证 配置 示例 拓扑 结 





构 








户 终端 通过 Switch 的 GE0/0/1 接 口 接 入 网 络 。 在 该 
进行 攻击 的 现象 。 为 确保 网 络 的 安全 性 ， 管 理 员 对 用 户 终 
802.1x 认 证 方式 进行 控制 ， 只 有 用 户 终端 通过 认证 后 Switch 才 允许 其 访问 Internet 中 的 
































实现 网 络 接 入 控制 的 实现 方案 ， 有 具体 的 接 入 控制 认证 还 需要 通过 





















































体 的 本 地 或 者 远程 认 











口上 





























E 员 的 客户 端 部 署 工 


第 次 





























行 配 置 ) 。 


(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方 案 以 及 ISP 域 ， 并 在 ISP 域 下 绩 








于 风 


] 户 通过 认证 前 所 访问 的 URL 重 定向 到 以 上 提供 















































配置 并 发 802.1x 认 证 用 户 数 限 制 。 












































的 服务 器 ) 的 802.1x 认 





使 能 MAC 旁 路 认证 。 





























h 定 RADIUS 服 务 器 模板 与 


AAA 方 案 。 保 证 了 Switch 与 RADIUS 服 务 器 之 间 的 信息 交互 。 有 关 这 方面 的 具体 配置 方法 参见 本 书 第 17 章 。 





(2) 使 能 





局 与 接口 的 802.1x 认 证 功能 ; 
的 终端 (如 打印 机 〉 能够 通过 认证 。 











(3) 配置 802.1x 快 速 部 署 功能 ， 实 现 用 户 802.1x 客 户 端的 快速 部 署 。 


























(4) (可 选 ) 配置 接口 


























2. 具体 配置 步骤 











(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方 案 以 及 ISP 域 。 








<HUAWEI>system-view 





使 能 MAC 劳 路 认证 功能 ， 保 证 了 无 法 安装 和 使 用 802.1x 认 证 





允许 接 入 的 最 大 802.1x 认 证 用 户 数 为 200， 防 止 过 多 的 用 户 同时 接 入 网 络 ;， 配置 
向 用 户 发 送 认 证 请 求 报 文 的 最 大 次 数 为 3 次 ， 防 止 用 户 不 停 地 进行 认证 。 




















[HUAWEI] radius-server template rd1 #--- 创 建 RADIUS 服 务 器 模板 rd1 

[HUAWEI-radius-rd1] radius-server authentication 192.168.2.30 1812 #--- 指 定 RADIUS 服 务 器 地 址 为 
192.168.2.30， 服 务 器 端口 为 1812 

[HUAWEI-radius-rd1] radius-server shared-key cipherhello #--- 指 定 与 RADIUS 服 务 器 通信 的 验证 密码 为 




















hello 














[HUAWEI-radius-rd1] radius-server retransmit 2 #--- 设 置 RADIUS 请 求 报 文 可 以 超时 重 传 的 次 数 为 两 次 
[HUAWEI-radius-rd1] guit 
[HUAWEI] aaa #--- 进 入 AAA 视 图 
[HUAWEI-aaa] authentication-scheme abc #--- 创 建 AAA 方 案 abc 
[HUAWEI-aaa-authen-abc] authentication-mode radius #--- 指 定 采 用 RADIUS 服 务 器 进行 认证 
[HUAWEI-aaa-authen-abc] quit 
[HUAWEI-aaa] domain ispl #--- 创 建 ISP 域 “isp1” 
[HUAWEI-aaa-domain-isp1] authentication-scheme abc #--- 指 定 采 用 名 为 “abc” 的 AAA 方 案 
[HUAWEI-aaa-domain-isp1] radius-server rd1 #--- 指 定 采 用 RADIUS 服 务 器 模板 rd1 
[HUAWEI-aaa-domain-isp1] quit 
[HUAWEI-aaa] quit 

(2) 全 局 和 接口 使 能 802.1x 认 证 ， 在 接口 上 使 能 MAC 汰 路 认证 ， 并 限制 并 发 802.1x 认 证 

最 多 向 用 户 发 送 认 证 请 求 报 文 3 次 。 

[HUAWEI] dotlx enable #-- 在 全 局 下 使 能 802.1x 认 证 
[HUAWEI] interface gigabitethernet 0/0/1 
[HUAWEI-GigabitEthermet0/0/1] dotlx enable #--- 在 接口 下 使 能 802.1x 认 证 
[HUAWEI-GigabitEthemet0/0/1] dotlx mac-bypass ”#--- 配 置 MAC 旁 路 认证 
[HUAWEI-GigabitEthernet0/0/1] dot1lx max-user 200”#--- 配 置 接 口 允许 接 入 的 最 大 802.1x 认 证 用 户 数 为 




















































































































j 户 数 为 200， 














Las 




























































































200 
[HUAWEI-GigabitEthernet0/0/1] quit 
[HUAWEI] dotlx retry 3 #-- 配 置 向 用 户 发 送 认 证 请 求 报 文 的 最 大 次 数 为 3 次 。 
(3) 配置 802.1x 快 速 部 署 功能 。 
[HUAWEI] dot1lx free-ip 192.168.3.0 24 !--- 配 置 免 认 证 IP 网 段 ， 使 用 户 在 通过 认证 前 可 以 访问 这 里 面 
的 资源 
[HUAWEI] dotlx url http://www.123.com.cn #-- 重 定向 用 户 访问 URL 
[HUAWEI] quit 















































































































































配置 好 后 ， 可 以 执行 display dotlx interface 任 意 视图 命令 查看 802.1x 的 配置 信息 。 如 下 面 是 GE0/0/1 接 
















































































上 的 802.1x 配 置信 息 。 从 中 可 以 看 到 已 使 能 802.1x 的 MAC 旁 路 认证 ， 人 允许 接 入 的 最 大 802.1x 认 证 用 户 数 为 
200 等 信息 ， 符 合 前 面 的 配置 。 
<HUAWEI>display dot1lx interfacegigabitethernet0/0/1 

GigabitEthernet0/0/1 status: UP 802.1x protocol is Enabled[mac-bypass] 


















































Port control type is Auto 
Authentication method is MAC-based 
Reauthentication is disabled 


Maximum users: 200 


Current users: 0 


There is no fast deploy user on the interface. 


Guest VLAN is disabled 

Critical VLAN is disabled 
Restrict VLAN is disabled 
Authentication Success: 0 


EAPOL Packets: TX :0 RX 


Failure: 0 


:0 


Sent EAPOL Request/Identity Packets : 0 
EAPOL Request/Challenge Packets : 0 
Multicast Trigger Packets :0 
EAPOL Success Packets :0 
EAPOL Failure Packets :0 

Received EAPOL Start Packets :0 
EAPOL Logoff Packets :0 


EAPOL Response/Identity Packets : 0 
EAPOL Response/Challenge Packets: 0 





18.3 MAC 认 证 配置 与 管理 


























MAC 地 址 认证 是 一 种 基于 端 
































入 设备 在 首次 检测 到 | 

















和 MAC 地 址 对 上 
认证 来 说 最 大 的 优势 是 不 需要 用 户 安装 任何 客户 端 软件 ， 用 户 名 和 密码 都 是 上 
j 户 的 MAC 地 址 以 后 ， 即 启动 对 该 用 户 的 认证 。MAC 认 证 主要 用 寺 
802.1x 客 户 端的 设备 进行 接 入 控制 ， 如 打印 书 





























] 户 的 网 络 访问 权限 进 


































































































































































































































































































了 一 个 用 户 身 份 认 证 的 实现 方案 ， 为 了 完成 用 





行 控制 的 认证 方法 。 它 相对 802.1x 
j 户 设备 的 MAC 地址。 网 络 接 
对 那些 不 支持 







































































































































































































































































与 802.1x 认 证 一 样 ，MAC 认 证 也 只 是 提供 户 的 身份 认证 
还 需要 选择 使 用 RADIUS 或 本 地 认证 方法 。 因 此 也 需要 首先 完成 以 下 配置 任务 。 

(1) 配置 用 户 所 属 的 ISP 认 证 域 及 其 使 用 的 AAA 方案 ， 即 本 地 认证 方案 或 RADIUS 方案 。 

(2) 如 果 需 要 通过 RADIUS 服务 器 进行 认证 ， 则 应 该 在 RADIUS 服务 器 上 配置 相应 的 用 户 名 和 密码 ; 
如 果 需 要 本 地 认证 ， 则 应 该 在 网 络 接 入 设备 上 手动 添加 接 入 用 户 的 用 户 名 和 密码 〈 根 据 MAC 认 证 所 采用 的 
用 户 名 形式 进行 配置 ) 。 

MAC 认 证 可 配置 的 任务 如 下 《〈 仅 第 一 项 为 必 选 的 ， 其 余 均 为 可 选 的 ) 。 

(1) 使 能 MAC 认 证 功能 。 

(2) (可 选 ) 配置 用 户 名 形式 。 

(3) (可 选 ) 配置 用 户 认证 域 。 

(4) (可 选 ) 配置 接口 允许 接 入 的 最 大 MAC 认 证 用 户 数 。 

(5) (可 选 ) 配置 MAC 认 证 的 定时 器 。 

(6) 〈 可 选 ) 配置 对 MAC 认 证 用 户 进行 重 认证 。 

(7) (可 选 ) 配置 Guest VLAN 功 能 : 与 18.2.11 节 的 配置 完全 一 样 ， 参 见 即 可 。 

(8) (可 选 ) 配置 Restrict VLAN 功 能 : 与 18.2.12 节 的 配置 完全 一 样 ， 参 见 即 可 。 

(9) (可 选 ) 配置 Critical VLAN 功 能 : 与 18.2.13 节 的 配置 完全 一 样 ， 参 见 即 可 。 

(10) 〈 可 选 ) 配置 用 户 组 功能 :与 18.2.18 节 的 配置 完全 一 样 ， 参 见 即 可 。 








下 面 各 小 节 分 别 介绍 以 上 在 本 章 前 面 未 配置 的 各 项 任务 的 配置 方法 。 

















18.3.1 使 能 MAC 认 证 功能 











只 有 同时 使 能 全 局 和 接口 的 MAC 认 证 功能 ，MAC 认 证 的 配置 才能 在 接口 上 生效 ， 有 具体 的 配置 步骤 如 表 
18-20 所 示 。 但 在 使 能 MAC 认 证 功能 后 ， 如 果 在 接口 下 已 有 MAC 认 证 在 线 用 户 ， 则 不 允许 去 使 能 接口 的 








MAC 认 证 功能 。 




















表 18-20 使 能 MAC 认 证 功能 的 配置 步 双 
































步骤 命令 说 明 
System-view JE 
例如 : <HUAWEI> system-view 进入 系统 视图 
i 使 能 全 局 MAC 认证 功能 。 缺 省 情况 下 ， 未 使 能 全 局 MAC 
2 | 例如 ，; [HUAWEI] mac-authen 认证 功能 ， 可 用 undo mac-authen 命令 去 使 能 设备 的 全 局 
| MAC 认证 功能 
在 系统 视图 下 批量 为 多 个 接口 使 能 MAC 
认证 功能 。 命 令 中 的 参数 说 明 如 下 。 
(1 ) finterface-type interface-numberl [to 
interface-number2 ] }: 指定 要 使 能 MAC 认 在 系统 
mac-authen interface { interfac | 证 功能 的 一 个 接口 或 者 一 个 连续 范围 的 多 可 图 下 
e-type interface-numberl [to int | 个 接口 批 时 使 
3 erface-number2 ] } &<1-10> (2) &<1-10>: 表示 前 面 的 {interface- | ww 多 个 
例如 : [HUAWEI] mac-authen | type interface-numberl [to interface-number2] } 接 | 1 的 
interface gigabitethernet 0/0/1 | 参数 最 多 可 以 有 10 个 MAC 认 
to 0/0/4 缺 省 情况 下 , 所 有 接口 都 没有 使 能 MAC 认 | 守 字 pe | 
证 功能 , 可 用 undo dotlx enable [ interface Mii - 
{ interface-type interface-numberl [ to 选 
interface- number2 ] } &<1-10> ] 命 令 去 使 A 
能 设备 指定 接口 上 的 MAC 认证 功能 ) 
interface interface-type interface- 
number 键入 要 使 能 MAC 认证 功能 的 接口 ， 进 入 | 在 具体 
例如 : [HUAWEI]interface 接口 视图 接口 视 
gigabitethernet 0/0/1 | 图 下 使 
使 能 以 上 接口 的 MAC 认证 功能 。 缺 省 情 | 能 MAC 
i ee 况 下 ， 未 使 能 接口 的 MAC 认证 功能 ， 可 | ”认证 
如 : [ eS 用 undo mac-authen 命令 去 使 能 以 上 接口 | 功能 
GigabitEthernet0/0/1] mac-authen | 的 MAC 认证 功能 














Se 
注意 


























如 果 接 口 使 能 了 MAC 认 证 功能 ， 则 不 能 在 该 接口 下 配置 如 下 命令 ， 反 之 亦 然 。 
(1) mac-limit: 配置 接口 的 最 大 MAC 地 址 学 习 个 数 。 
(2) mac-address learning disable: 关闭 接口 的 MAC 地 址 学 习 功 能 。 
(3) port link-type: 配置 接口 的 链 路 类 型 为 QinQ。 
(4) port vlan-mapping vlan map-vlan 和 port vlan-mapping vlan inner-vlan: 配置 接口 的 VLAN Mapping 功 








ZI 
CC 
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(5) port vlan-stacking: 












































配置 灵活 QinQ 功 能 。 





(6) port-security enable: 使 能 接口 的 MAC VLAN 功 能 。 














(7) mac-vlan enable: 配置 接口 安全 功能 。 
(8) ip-subnet-vlan enable: 使 能 接口 基于 IP 子 网 划分 VLAN 的 功能 。 
(9) port mux-vlan enable: 使 能 接口 MUX VLAN 功 能 。 


























18.3.2 〈 可 选 ) 配置 用 户 名 形式 








MAC 认 证 用 户 采 用 的 认 





























证 用 户 名 形式 有 “MAC 地 址 形式 ”和 “固定 用 户 名 形式 ”两 种 ， 具 体 参见 18.1.3 














节 ， 可 通过 在 系统 视图 下 使 用 








j mac-authen username { fixed username [password cipher password ] |macaddress [ 





format {with-hyphen |without- hyphen } ] } 命 令 进行 配置 。 命 令 中 的 参数 和 选项 说 明 如 下 。 


efi 


e cipher password: 可 选 参数 ， 指 定 以 密 文 形式 显示 


Xed username: 


是 1 一 16 位 的 明文 密码 。 


® macaddress: 


e with-hyphen: 二 选 一 


例如 “0005-e01c-02e3”。 


e without-hyphen: 
“0005e01c02e3”。 
情况 下 ，MAC 认证 的 用 户 名 和 密码 为 不 带 分 


地 址 ， 例 如 
缺 省 























命令 恢复 MAC 地 址 认 记 
【示例 1】 配 置 固 











二 选 一 参数 ， 指 定 MAC 认 证 时 使 用 的 固定 用 户 名 ， 为 1 一 64 个 字符 串 。 
:的 MAC 认 证 密码 ， 可 以 是 32 位 的 密 文 密码 ， 也 可 以 









































二 选 一 选项 ， 指 定 以 MAC 地 址 作为 MAC 认 证 时 使 用 的 用 户 名 。 














选项 ， 指 定 MAC 地 址 作为 | 







































































E 时 采用 的 


























<HUAWEI>system-view 
[HUAWEI] mac-authen username fixed vipuserpassword cipher pass 





<HUAWEI>system-view 
[HUAWEI] mac-authen username macaddress format with-hyphen 
































18.3.3 〈 可 选 ) 配置 MAC 用 户 认 证 域 





当 




















MAC 认证 用 户 采 / 





j 的 认证 用 户 名 形式 为 MAC 




















如 果 管 
认证 方 


YH 





案 不 灵活 。 当 MA 














在 其 自 





























理 员 没有 配置 认证 ] 
C 认 证 用 户 的 用 户 名 采用 固定 用 








带 的 认证 域 中 进行 
可 在 系统 视图 下 为 设备 上 所 有 接口 全 局 配置 或 者 帮 





j 户 名 形式 为 缺 省 情况 。 
定 用 户 名 形式 认证 的 用 户 名 为 “vipuser”， 明 文 格式 的 密码 为 “pass”。 





【示例 2】 配 置 MAC 地 址 作为 用 户 名 进行 认证 ， 输 入 MAC 地 址 时 带 有 分 隔 符 。 





j 户 名 输入 用 户 名 时 使 用 带 有 分 隔 符 “- ”的 MAC 地 址 ， 
二 选 一 选项 ， 指 定 MAC 地 址 作为 用 户 名 输入 用 户 名 时 使 用 不 带 有 分 隔 符 “- ”的 MAC 


隔 符 “-” 的 MAC 地 址 ， 可 用 undo mac-authen username 


























地 址 形式 ， 或 者 采用 固定 用 户 名 形式 但 不 带 域名 时 ， 
或 ， 用 户 将 使 用 Default 域 进行 认证 。 这 会 导致 众多 用 户 在 都 在 Default 域 下 认证 ， 


































































































认证 。 





户 名 形式 ， 且 在 用 户 名 中 指定 了 认证 域 ， 


























则 该 用 户 
































域 ， 有 具体 配置 步骤 如 表 18-21 所 示 。 











iT 














接口 视图 下 为 具体 接口 配置 MAC 认 证 














表 18-21 MAC 用 户 认 证 域 的 配置 步骤 








户 的 认证 


步骤 命令 说 明 
System-view 


> 进入 系统 视图 
例如 : <HUAWEI> system-view 





明 如 下 。 


不 支持 空格 ,不 能 使 用 星 号 “*”、 问 号 “?” 
不 区 分 大 小 写 


mac-authen domain isp-name 
[ mac-address mac-address mask 


认证 的 用 户 MAC 地 址 ， 格 式 为 H-H-H， 其 
4 位 的 十 六 进 制 数 


mask ] 

例如 : [HUAWEI]mac-authen 
domain macdomain mac-address 
1-1-1-1 fFFF-fFFF-AAP 


iD 


确定 MAC 地 址 的 范围 


mac-address ] | [ mac-address { mac-address | 


取消 指定 或 所 有 配置 的 认证 域 


包 置 MAC 认证 用 户 所 使 用 的 认证 域 。 命 令 中 的 参数 说 


(1) isp-name: 指定 所 在 的 ISP 域名 ， 为 1 一 64 个 字符 ， 


(2)mac-address mac-address: 可 选 参数 , 指定 用 于 MAC 


(3) mask mask: 可 选 参数 , 指定 以 上 MAC 地 址 的 掩 码 ， 
格式 为 H-H-H, 其 中 HH 为 1 至 4 位 的 十 六 进 制 数 ,用 于 


缺 省 情况 下 ， 认 证 域 使 用 系统 缺 省 的 “default” 域 ， 可 


用 undo mac-authen domain [ isp-name [ mac-address 


3 cm 
* 引号 


中 H 为 1 至 


all } ] ] 命 令 





interface interface-fype interface- 


mumber (可 选 ) 键入 要 配置 MAC 用 户 认 证 域 的 接口 ， 进 入 接口 
例如 : [HUAWEI]interface 视图 
gigabitethernet 0/0/1 














口 允 许 接 入 的 最 大 MAC 认 证 用 户 数 
































(可 选 ) 配置 以 上 接口 MAC 认证 用 户 所 使 用 的 认证 域 。 
mac-authen domain isp-name 参数 用 来 指定 对 应 的 认证 域名 ， 其 他 参见 第 2 步 该 参数 


到 例如 : [HUAWEI- 说 明 
GigabitEthemet0/0/1]mac-authen | 缺 省 情况 下 ， 认 证 域 使 用 系统 缺 省 的 “default” 域 ， 可 
domain macdomain 用 undo mac-authen domain 命令 取消 指定 或 所 有 配置 
的 认证 域 





如 果 管 理 员 需 对 某 接 口 下 通过 MAC 认证 接 入 的 用 户 数 量 进行 限制 的 时 候 ， 可 配置 接口 允许 接 入 的 
MAC 认证 最 大 用 户 数量 。 这 样 ， 当 接 入 用 户 到 达 配 置 的 最 大 数 时 ， 后 续 的 MAC 认 证 用 户 将 不 能 够 通过 该 



































接口 接 入 网 络 。 





接口 允许 接 入 的 最 大 MAC 认证 用 户 数 可 在 系统 视图 下 为 多 个 接口 进行 批 
个 接口 具体 配置 ， 具 体 步 又 如 表 18-22 所 示 。 




















配置 ， 或 在 接口 








表 18-22 接口 允许 接 入 的 最 大 MAC 认 证 用 户 数 的 配置 步 又 








视图 下 为 单 





system-view 





进入 系统 视图 





例如 ;<HUAWEI> system-view 


在 系统 视图 下 批量 为 多 个 接口 配置 允许 接 入 
的 最 大 MAC 认证 用 户 数量 。 命令 中 的 参数 说 
明 如 下 。 

(1) user-number: 指定 接口 的 最 大 MAC 认证 
用 户 数量 。 不 同系 列 交 换 机 的 取 值 范围 不 同 : 
除 S2700-52P-EI[、S2700-52P-PWR-EI 以 外 的 

















S2700EI 子 系列 为 1 一 8 的 整数 ,S2700-52P-EI、| 在 系统 
S2700-52P-PWR-EI 子 系列 ， 以 及 S3700/5700/ | 视图 下 
ee eee 6700 系列 为 1 一 256 的 整数 ，S7700/9300/ | 为 一 个 
Merger interinee 9300E/9700 系列 为 1 一 2048 的 整数 或 多 个 
! ‘mieyf eetype i (2) { interface-type interface-nmumber1 [to interface- | 接口 批 
2 teh pe } number2] }: 指定 要 配置 允许 接 入 的 最 大 | 量 配 置 
MAC 认证 用 户 数量 的 一 个 接口 或 者 一 个 连续 | 允许 接 
全 :WE mecianithen | 范 国 的 客 外 六 EE 入 的 最 
守 光 人 (3) &<1-10>: 表示 前 面 的 {interface-type | 大 MAC 
eabitethemee /OA tn interface-numberl1 [to interface-number2] } 参 | 认证 用 
数 最 多 可 以 有 10 个 户 数 
缺 省 情况 下 ,接口 下 允许 接 入 的 最 大 MAC 认 
证 用 户 数 量 为 对 应 系列 交换 机 允许 接 入 的 最 
大 用 户 数 ， 可 用 undo dotlx max-user [ user- 
number ] interface { interface-type interface- 
nmumberl [ to interface-number2 ] } &<1-10> 命 
令 恢复 为 缺 省 值 
interface interface-type interface- 在 具体 
a number 键入 要 配置 允许 接 入 的 最 大 MAC 认证 用 户 数 按 品 视 
例如 : [HUAWEI]interface 的 接口 ， 进 入 接口 视图 a 
i a 图 下 为 
gigabitethernet 0/0/1 单个 接 
配置 在 以 上 接口 下 允许 接 入 的 最 大 MAC 认证 | 口 配置 
mac-authen max-user 用 户 数 量 ， 参 数 wser-number 取 值 范围 参见 第 允许 接 
user-number Ey 说 明 入 的 最 
4 例如 : [HUAWEI- 缺 省 情况 下 ,接口 下 允许 接 入 的 最 大 MAC 认 | 大 MAC 
GigabitEthernet0/0/1] 证 用 户 数 量 为 对 应 系列 交换 机 允许 接 入 的 最 | 认证 用 
mac-authen max-user 30 大 用 户 数 ， 可 用 undo dotlx max-user [ user- 户 数 





number ] 命 令 恢 复 为 缺 省 值 





18.3.5 〈 可 选 ) 配置 MAC 认 证 定时 器 











MAC 认证 过 程 中 可 启动 多 个 定时 器 以 控 
互 。 可 配置 的 MAC 认 证 定时 器 包括 以 
(1) Guest-Vlan 用 户 重 认证 定时 器 (guest-vlan reauthenticate-period) : 在 月 
时 器 设置 的 时 间 间 隔 为 周期 向 Guest Vlan 中 的 用 户 发 起 重 认 计 








设备 将 以 此 定 
Guest Vlan 。 


(2) 用 户 下 线 探测 定时 器 〈offline-detect) : 为 确保 用 











站 几 种 。 




















判 接 入 用 户 、 设 备 以 及 认证 服务 器 之 间 进 行 合 到 
































E。 若 





EE、 有 序 的 交 


有 户 被 加 入 Guest Vlan 之 后 ， 





im 








认证 成 功 ， 则 月 























文 ， 如 果 用 户 在 探测 周期 内 没有 回应 ， 则 设备 认为 该 用 户 已 下 线 。 


(3 
处 理 该 有 














有 户 的 认 训 








(4) 认证 服务 器 超时 定时 器 〈server-timeout) : 当 设 备 向 认 订 


) 静默 定时 器 (guiet-period〉: 在 月 


























FE 请 求 。 








户 的 正常 在 线 ， 设 备 会 向 在 线 月 




















有 户 退 出 


有 户 发 送 探 测报 


有 户 认证 失败 后 ， 设 备 需 要 静默 一 段 时 间 。 在 静默 期 间 ， 设 备 不 


FE 服务器 发 送 RADIUS Access-Request 请 


求 报 文 后 ， 设 备 启动 此 定时 器 。 若 在 该 定时 器 设置 的 时 长 内 ， 设 备 未 收 到 认证 服务 器 的 响应 ， 则 将 重 发 认 





证 请 求 报 文 。 
以 上 这 些 认 训 





interval | offline-detectoffline-detect-value |quiet-periodquiet- value | server-timeout server-timeout-value } 命 令 进 


F 定 时 器 的 配置 方法 是 在 系统 视图 下 使 用 


j mac-authen timer { guest- vlan reauthenticate-period 





行 的 ， 命 令 中 的 参数 说 明 如 下 。 


(1) interval: 多 选 一 参数 ， 指 定 Guest-Vlan 用 户 重 认证 定时 器 值 ， 取 值 范 


省 为 60s。 


























围 为 60 一 3 600 的 整数 秒 ， 缺 



































(2) offline-detect-value: 多 选 一 参数 ， 指 定 用 户 下 线 探测 定时 器 值 ， 取 值 范围 为 30 一 7 200 的 整数 秒 ， 
缺 省 为 300s。 
(3) quiet-value: 多 选 一 参数 ， 指 定 静 默 定时 器 的 值 ， 取 值 范围 为 10 一 3 600 的 整数 秒 ， 缺 省 为 60s。 
(4) server-timeout-value: 多 选 一 参数 ， 指 定 服务 器 超时 定时 器 的 值 ， 取 值 范围 为 1 一 120 的 整数 秒 ， 
缺 省 为 30s。 

需要 分 别 单独 为 每 个 定时 器 配置 ， 缺 省 情况 下 ，guest-vlan reauthenticate-period、offline-detect、quiet- 
period、server-timeout 定 时 器 均 为 缺 省 开启 ， 可 用 undo mac-authen timer { guest-vlan reauthenticate-period | 


offline-detect | quiet-period | reauthenticate- period | server-timeout } 命 令 将 指定 的 定时 器 恢复 为 缺 省 值 。 







































































18.3.6 〈 可 选 ) 配置 对 MAC 认 证 用 户 进行 重 认 证 



































与 18.2.9 节 介绍 的 802.1x 认 证 用 户 重 认证 一 样 ，MAC 认 证 中 也 可 以 为 用 户 进行 重 认证 。 在 配置 了 对 
MAC 认证 用 户 进行 重 认 证 功能 后 ， 设 备 会 把 保存 的 在 线 用 户 的 认证 参数 发 送 到 认证 服务 器 进行 如 
认证 服务 器 上 用 户 的 认证 信息 没有 变化 ， 则 用 户 正常 在 线 ， 若 用 户 的 认 i 
线 ， 此 后 需要 用 户 根据 更 改 后 的 认证 参数 重新 进行 接 入 认证 。 

MAC 认 证 中 同样 可 以 有 两 种 重 认证 方式 ，(1) 对 指定 接口 下 所 有 在 线 MAC 认 ; 
证 ; (2) 对 指定 MAC 地 址 的 在 线 MAC 认证 用 户 进行 重 认证 ， 且 仅 进 行 一 次 重 认证 


对 MAC 认证 用 户 进 行 重 认 证 可 在 系统 视图 下 为 多 个 接口 进行 批量 配置 ， 或 在 接口 视图 下 为 单个 接口 配 
置 ， 有 具体 步骤 如 表 18-23 所 示 。 









































E 认 证 ， 若 
E 信 息 已 更 改 ， 则 用 户 将 会 被 下 





















































































































































] 户 进行 周期 重 认 


Sp 
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表 18-23 对 MAC 认 证 用 户 进行 重 认 证 的 配置 步 又 











配置 方式 | 步 又 命令 | 说 明 
对 指定 接 
口 下 所 有 人 
:外 system-view 
和 着 1 | 例如 : <HUAWEI> 进入 系统 视图 
周期 本 了 System-view 


认证 





( 续 表 ) 


说 明 





mac-authen 
reauthenticate interface 

{ inrerface-type interface- 
nmumberl [to interface- 
nmumber2 ] } &<1-10> 
例如 : [HUAWEI] mac- 
authen reauthenticate 
interface gigabitethernet 
0/0/1 to 0/0/4 


对 指定 接 
口 下 所 有 
在 线 MAC 
用 户 进行 
周期 重 
认证 


interface interface-type 
interface-number 

例如 : [HUAWEJ]] 
interface gigabitethernet 
OO 


在 系统 视图 下 批量 为 多 个 接口 使 能 对 在 

线 MAC 认证 用 户 进 行 周期 重 认 证 功能 。 

命令 中 的 参数 说 明 如 下 。 

(C1) {inmerface-type interface-numberl [to 
interface-mumber2] }: 指定 要 使 能 MAC 

周期 重 认 证 功能 的 一 个 接口 或 者 一 个 连 

续 范围 的 多 个 接口 

(2) &<l-10>: 表示 前 面 的 { interface- 

npe interface-mumber] [to interface-number2 ] } 
参数 最 多 可 以 有 10 个 

缺 省 情况 下 ， 未 使 能 接口 对 在 线 MAC 认 

证 用 户 进行 周期 重 认证 功能 ， 可 用 undo 

dotlx reauthenticate interface | inrerface- 

type interface-number!l [ to interface- 

number2 ] } &&<1-10> 命 令 去 使 能 指定 接 

口 对 在 线 MAC 认证 用 户 进 行 周期 重 认证 

功能 

在 具体 
接口 视 
图 下 为 
单个 接 
口 配 置 


(可 选 ) 键 入 要 配置 对 MAC 认证 用 户 进行 
重 认 证 的 接口 ， 进 入 接口 视图 





mac-authen 
reauthenticate 

例如 : [HUAWEI- 
GigabitEthernet0/0/1] 
mac-authen 
reauthenticate 


quit 

例如 : [HUAWEI- 
GigabitEthemetO/0/1] quit 
mac-authen timer 
reauthenticate-period 
reauthenticate-period 
例如 : [HUAWEH 
mac-authen timer 
reauthenticate-period 360 
mac-authen 
reauthenticate 
mac-address mac-address 
例如 : [HUAWE 
mac-authen 
reauthenticate 
mac-address 00e0-fc01- 
0005 


对 指定 
MAC 地 址 
的 在 线 
MAC 用 户 
进行 重 
认证 





18.3.7 MAC 认 订 





配置 管理 





在 完成 MAC 认 证 配置 后 ， 可 执行 以 下 display 牺 





对 在 线 
MAC 认 
证 用 户 
进行 周 


(可 选 ) 使 能 以 上 接口 对 在 线 MAC 认证 用 
户 进行 周期 重 认证 功能 。 缺 省 情况 下 ,未 
使 能 接口 对 在 线 MAC 认证 用 户 进行 周期 
重 认 证 功能 ， 可 用 undo dotlx 
reauthenticate 命令 去 使 能 接口 对 在 线 | 期 重 认 
MAC 认证 用 户 进行 周期 重 认证 功能 证 功能 


退出 接口 视图 ， 返 回 系统 视图 


(可 选 ) 配 置 MAC 认证 重 认证 周期 , 取 值 范围 为 60 一 
7 200 的 整数 秒 。 缺 省 情况 下 , MAC 认证 对 用 户 的 重 
认证 周期 时 间 为 1 800s, 可 用 undo mac-authen timer 
reauthenticate-period 命令 恢复 为 缺 省 值 


使 能 对 指定 MAC 地 址 的 在 线 MAC 用 户 进行 重 认 证 
功能 ， 仅 进行 一 次 认证 。 参数 mac-adidress 用 来 指定 
进行 重 认证 的 MAC 用 户 的 MAC 地 址 ， 格 式 为 
H-H-H， 其 中 日 为 1 一 4 位 的 十 六 进 制 数 

缺 省 情况 下 ， 未 使 能 对 指定 MAC 地 址 的 在 线 MAC 
认证 用 户 进行 重 认 证 功能 ， 可 用 mac-authen 
reauthenticate mac-address mac-address 命令 取消 对 指 
定 MAC 地 址 的 在 线 MAC 认证 用 户 去 使 能 重 认证 功能 





E 意 视图 命令 查看 已 配置 的 参数 信息 。 











(1) display mac-authen [ interface { interface-type interface-numberl [ to interface- number2 ] } &<1-10> ] 


: 查看 所 有 或 者 指定 接口 的 MAC 认 证 配置 信息 。 








(2) display mac-address {authen |guest } [ interface-type interface-number |vlan vlan-id ] *[ verbose ] : 查 


看 系统 当前 存在 的 authen 类 型 或 guest 类 型 的 MAC 地 址 表 项 。 


(3) display user-group [group-name ] : 查看 所 有 或 者 指定 用 
(4) display access-user user-groupgroup-name: 





在 月 
number2 ] } ] 命令 清除 所 有 或 者 指定 接 














户 组 的 相关 配置 信息 。 
昌 户 组 绑 定 的 所 有 用 户 摘 要 信息 。 








查看 与 指定 月 





日 户 视图 下 执行 reset mac-authen statistics [ interface { interface-type interface-numberl [ to interface- 
口上 的 MAC 地 址 认 训 


E 的 统计 信息 。 














18.3.8 MAC 认 证 配置 示例 











如 图 18-10 所 示 ， 某 公司 内 部 大 量 打 印 机 通过 Switch 的 GEO/O/1 接 
后 ， 为 增强 网 络 的 安全 性 ， 管 理 员 需 对 打印 机 的 网 络 访问 权限 进行 控制 。 


















































RADIUS Server 
192.168.2.30 







Printer 







GEO/0/1 







LAN Switch 


Printer 


Update Server 





图 18-10 MAC 认 证 配置 示例 





1. 基本 配置 思路 分 析 



















































































(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方 案 以 及 ISP 域 ， 并 在 ISP 域 下 绑 定 





AAA 方案 。 保 证 了 Switch 与 RADIUS 服务 器 之 间 的 信息 交互 。 
局 与 接口 的 MAC 认证 功能 。 可 选 配 置 接口 允许 接 入 的 最 大 MAC 认 证 用 户 数 为 100， 


(2) 使 能 设备 全 



































防止 过 多 的 用 户 同时 接 入 网 络 。 还 可 配置 Guest VLAN 为 10， 满 足 当 用 户 未 进行 认 详 














VLAN 中 的 资源 。 








2. 具体 的 配置 步 又 








(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方 案 以 及 ISP 域 。 
<HUAWEI>system-view 
[HUAWEI] radius-server template rdl #-- 创 建 并 配置 RADIUS 服 务 器 模板 “rd1” 
[HUAWEI-radius-rd1] radius-server authentication 192.168.2.30 1812 #--- 指 定 RADIUS 服 务 器 IP 地 址 
[HUAWEI-radius-rd1] radius-server shared-key cipherhello #--- 指 定 与 RADIUS 服 





hello 


[HUAWEI-radius-rd1] radius-server retransmit 2 #--- 指 定 RADIUS 服 务 器 强 








[HUAWEI-radius-rd1] guit 


[HUAWEI] aaa 


[HUAWEI-aaa] authentication-scheme abc #--- 建 AAA 方 案 “abc” 
[HUAWEI-aaa-authen-abc] authentication-mode radius #--- 指 定 采 用 RADIUS 服 务 器 认证 模式 
[HUAWEI-aaa-authen-abc] quit 

[HUAWEI-aaa] domain isp1 #--- 建 ISP 域 “isp1” 

[HUAWEI-aaa-domain-isp1] authentication-scheme abc #--- 绑 定 AAA 方 案 “abc” 
[HUAWEI-aaa-domain-isp1] radius-server rd1 #--- 绑 定 RADIUS 服 务 器 模板 “rd1” 




















接 入 网 络 。 在 该 网 络 运 行 一 段 时 间 

















1 于 打印 机 无 法 安装 和 使 用 802.1x 客 户 端 ， 为 实现 对 其 网 络 访问 权限 进行 限制 的 需求 ， 管 理 员 可 在 
Switch 上 配置 MAC 认 证 功能 。 有 具体 的 配置 思路 如 下 “〈 均 在 Switch 上 进行 配置 ) 。 











RADIUS 服务 器 模板 与 


E 时 能 够 访问 Guest 








务 器 交互 的 共享 密 钥 为 


传 报 文 的 次 数 为 2 


[HUAWEI-aaa-domain-isp1] quit 
[HUAWEI-aaa] quit 
(2) 配置 MAC 认 证 。 

[HUAWEI] mac-authen #--- 在 全 局 使 能 MAC 认 证 

[HUAWEI] interface gigabitethernet 0/0/1 

[HUAWEI-GigabitEthermet0/0/1] mac-authen ”#--- 在 接口 下 使 能 MAC 认 证 

[HUAWEI-GigabitEthemet0/0/1] mac-authen max-user100 ”#--- 指 定 接口 允许 接 入 的 最 大 MAC 认 证 用 户 数 
为 100 

[HUAWEI-GigabitEthernet0/0/1] quit 

[HUAWEI] vlan batch 10 

[HUAWEI] authentication guest-vlan 10 interfacegigabitethernet0/0/1 ”#--- 配 置 MAC 认 证 的 Guest VLAN 为 



































10 




















UD 














配置 好 后 ， 执 行 display mac-authen interface 命 令 可 查看 接口 上 的 MAC 认 证 配置 信息 。 有 具体 如 下 ， 从 
可 以 全 面 地 看 到 前 面 在 接口 上 配置 的 MAC 认 证 配置 信息 。 

[HUAWEI] display mac-authen interfacegigabitethernet0/0/1 

GigabitEthernet0/0/1 state: UP. MAC address authentication is enabled 







































































Maximum users: 100 

Current users: 0 

Authentication Success: 0, Failure: 0 
Guest VLAN 10 is not effective 
Critical VLAN is disabled 

Restrict VLAN is disabled 



































18.4 Portal 认 证 配置 与 管理 



































Portal 认 证 可 使 用 户 不 经 过 特定 客户 端 软件 即 可 进行 接 入 认证 的 一 种 基于 Web 页 面 的 认证 方式 。Portal 服 
务 器 为 用 户 提 供 免 费 门户 服务 和 基于 Portal 认 证 的 Web 页 面 。Portal 服 务 器 可 分 为 外 置 Portal 服 务 器 与 内 置 
Portal 服 务 器 两 种 ， 有 具体 参见 18.1.4 节 。 
与 前 面 介绍 的 802.1x 认 证 和 MAC 认 证 一 样 ，Portal 认 证 也 只 提供 了 一 个 用 户 身 份 认 证 的 实现 方案 ， 为 了 
完成 用 户 的 身份 认证 还 需要 选择 使 用 RADIUS 或 本 地 认证 方法 。 因 此 ， 也 需要 首先 完成 以 下 AAA 配置 任务 
(具体 参见 本 书 第 17 章 〉。 
(1) 配置 用 户 所 属 的 ISP 认 证 域 及 其 使 用 的 AAA 方 案 ， 即 本 地 认证 方案 或 RADIUS 方 案 。 
(2)〉 如果 需 要 通过 RADIUS 服务 器 进行 认证 ， 则 应 该 在 RADIUS 服务 器 上 配置 相应 的 用 户 名 和 密码 ; 
如 果 需 要 本 地 认证 ， 则 应 该 在 本 地 设备 上 手动 添加 接 入 用 户 的 用 户 名 和 密码 。 
Portal 认 证 的 配置 任务 如 下 《〈《 仅 前 面 两 项 是 必 选 的 ， 其 他 均 为 可 选 配置 任务 ) 。 
(1) 配置 Portal 服 务 器 参数 。 
(2) 使 能 Portal 认 证 功能 。 
(3) (可 选 ) 配置 与 Portal 服 务 器 信息 交互 参数 。 
(4) (可 选 ) 配置 Portal 认 证 用 户 接 入 控制 参数 :S2700/3700 系 列 不 支持 。 
(5) (可 选 ) 配置 Portal 认 证 用 户 下 线 探测 周期 ，S2700/3700 系 列 不 支持 。 

























































































































































































































































































































































































































































































(6) 
(7) 
(8) 
(9) 
(10) 


〈 可 选 ) 配置 Portal 认 证 探测 与 逃生 功能 : 
(可 选 ) 配置 Portal 认 证 用 户 信息 同步 功能 : 






































S2700/3700 系 列 不 支持 。 
S2700/3700 系 列 不 支持 。 


(可 选 ) 配置 Portal 认 证 静态 用 户 : S2700/3700 系 列 不 支持 。 

















〈 可 选 ) 配置 用 户 组 功能 : 
(可 选 ) 配置 Portal 认 证 静默 功能 : 











18.4.1 配置 Portal 服 务 器 参数 








参见 18.2.18 节 ，S2700/3700 系 列 不 支持 。 
仅 S2700/3700 系 列 支 持 。 


在 Portal 认 证 配置 过 程 中 ， 为 保证 设备 与 Portal 服 务 器 之 间 能 够 进行 通信 ， 必 须 先 在 设备 上 配置 指向 
Portal 服 务 占 的 参数 ， 辟 如 指向 Portal 服 务 器 的 IP 地 址 。 


Portal 服 务 器 可 分 为 外 置 Portal 服 务 器 与 内 置 Portal 服 务 器 ， 外 置 Portal 服 务 器 具有 独立 的 硬件 设施 ， 内 置 


Portal 服 务 器 为 存在 于 接 入 设备 之 内 的 内 符 实 体 〈 即 由 接 入 设备 实现 Portal 服 务 器 功能 ) 。 这 两 利 





























器 参数 的 配置 步骤 如 表 18-24 所 示 。 


说 明 





仅 S5700EI、S5700HI 和 S5710EI 子 系列 支持 内 置 Portal 服 务 器 功能 。 


表 18-24 Portal 服 务 器 参数 的 配置 步 又 


命令 








system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





配置 指向 外 置 Portal 服务 器 参数 





web-auth-server server-name 
例如 : [HUAWEI] web-auth-server 
huawei 


htD 


创建 Portal 服务 器 模板 ,并 进入 Portal 服务 器 模板 视图 。 
参数 server-name 用 来 指定 Portal 服务 器 模板 名 ， 长 度 
范围 是 1 一 31 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 

缺 省 情况 下 ， 未 创建 Portal 服务 器 模板 ， 可 用 undo 
web-auth-server server-name 命令 删除 指定 的 Portal 服 
务 器 模板 





server-ip server-ip-address &<1-10> 
3 例如 : [HUAWEI-web-auth-server- 
huawei] server-ip 1.1.1.1 


配置 指向 外 置 Portal 服务 器 的 IP 地 址 ， 最 多 可 配置 10 个 
缺 省 情况 下 ， 未 配置 指向 Portal 服务 器 的 IP 地 址 ， 可 
用 undo server-ip { server-ip-address | all } 命 令 删 除 指 
定 的 或 者 所 有 指向 Portal 服务 器 的 IP 地 址 





url url-string 
4 例如 : [HUAWEI-web-auth-server- 
huawei] url http://www.abc.com 








配置 指向 Portal 服务 器 的 URL, 用 于 标志 Portal 认证 用 
户 可 以 访问 的 Portal 服务 器 的 网 址 , 为 1 一 200 个 字符 ， 
且 必 须 以 “http:W” 开 头 

缺 省 情况 下 ， 未 配置 指向 Portal 服务 器 的 URL， 可 用 
undo url 命令 删除 指向 Portal 服务 器 的 URL 





说 明 








配置 指向 


portal local-server ip ip-address 
2 例如 : [HUAWEI] portal local-server 
ip 1.1.1.1 








置 Portal 服务 器 参数 

配置 指向 内 置 Portal 服务 器 的 IP 地址 

缺 省 情况 下 ,未 配置 指向 内 置 Portal 服务 器 的 IP 地 址 ， 
可 用 undo portal local-server ip 命令 删除 配置 指向 内 置 
Portal 服务 器 的 IP 地 址 

【说 明 】 配 置 指向 内 置 Portal 服务 器 的 IP 地 址 必须 是 设 
备 上 一 个 与 用 户 之 间 路 由 可 达 的 IP 地址 

内 置 Portal 服务 器 的 IP 地 址 不 能 配置 为 设备 上 客户 端 
接 入 网 关 的 IP 地 址 , 推荐 使 用 LoopBack 接口 地 址 。 利 
用 LoopBack 接口 状态 稳定 的 优点 ， 可 以 避免 因为 接口 
故障 导致 用 户 无 法 打开 的 问题 。 另 外 ， 由 于 发 送 到 
LoopBack 接口 的 报 文 不 会 被 转发 到 网 络 中 ， 当 请 求 上 
线 的 用 户 数目 较 大 时 ， 可 减轻 对 设备 性 能 的 影响 





























Portal 服 务 


( 续 表 ) 


18.4.2 使 能 Portal 认 证 功能 
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认证 












针对 外 置 Portal 服 务 器 ， 仅 需 将 配置 的 Portal 服 务 器 模板 绑 定 到 VLANIEF 接 口 
行 Portal 认 证 。 而 对 于 内 置 Portal 服 务 器 ， 则 需 先 使 能 
功能 ， 才 能 够 对 该 接口 下 的 用 户 进行 Portal 认 证 。 





表 18-25 使 能 





System-view 


例如 : <HUAWEI> system-view 


F 功 能 。 














在 配置 完成 指向 Portal 服 务 器 的 参数 后 ， 设 备 即 能 够 与 Portal 服 务 器 进行 通信 。 此 时 如 果 需 对 接 入 用 户 进 
行 Portal 认 证 ， 还 必须 使 能 设备 的 Portal 认 训 























体 的 配置 步骤 如 表 18-25 所 示 。 














Portal 认 证 功能 的 配置 步骤 


进入 系统 视图 





上 即 可 对 该 接 








口 下 的 用 户 进 











使 能 外 置 Portal 服务 器 的 Portal 认证 功能 















interface vlanif vlan-id 
例如 : [HUAWEI] interface 
vlanif 10 


web-auth-server server-name 

{ direct | layer3 } 

例如 : [HUAWEI-Vlanif10] 
web-auth-server huawei direct 


键入 要 使 能 Portal 认证 的 VLAN 接口 (与 用 户 网 络 连 接 的 
VLAN 接口 )， 进 入 VLANIF 接口 视图 





在 VLANIF 接口 下 绑 定 Portal 服务 器 模板 ,命令 中 的 参数 
和 选项 说 明 如 下 。 
(1) server-name: 指定 要 绑 定 的 Portal 服务 器 模板 , 为 1 一 
31 个 字符 ， 不 支持 空格 ， 区 分 大 小 写 

(2) direct: 二 选 一 选项 ， 指 定 采用 二 层 认 证 方式 。 当 用 
户 与 设备 之 间 没 有 三 层 转发 设备 时 , 设备 能 够 学 习 到 用 户 
的 MAC 地 址 。 此 时 可 利用 IP 和 MAC 地 址 来 识别 用 户 ， 
配置 二 层 认 证 方式 即 可 

(3) layer3: 二 选 一 选项 ， 指 定 采 用 三 层 认 证 方式 。 当 用 
户 与 设备 之 间 存 在 三 层 转发 设备 时 , 设备 不 能 够 获取 到 用 
户 的 MAC 地 址 , 所 以 IP 地址 将 唯一 标识 用 户 , 此 时 需要 
配置 为 三 层 认 证 方式 。 


一 














置 Portal 服 务 器 功能 ， 然 后 使 能 设备 二 层 接 口 的 Portal 


( 续 表 ) 


缺 省 情况 下 ，VLANIF 接口 下 未 绑 定 Portal 服务 器 模板 ， 
可 用 undo web-auth-server [ server-name { direct | 
layer3 } ] 命 令 出 除 在 VLANIF 接口 下 绑 定 的 指定 Portal 
服务 器 模板 
web-auth-server server-name 【说 明 】 一 个 VLANIF 接口 只 能 绑 定 一 个 Portal 服务 器 模 
{ direct | layer3 } 板 , 但 同一 个 Portal 服务 器 模板 可 绑 定 到 不 同 的 VLANIF 
例如 : [HUAWEI-Vlanif10] 接口 
web-auth-server huawei direct | 设备 最 多 支持 配置 8 个 Portal 服务 器 模板 , 并 且 最 多 支持 
在 16 个 VLANIF 接口 下 绑 定 Portal 服务 器 模板 
车 在 二 层 接 口上 使 能 了 802.1x 认证 、MAC 认证 、MAC 
旁 路 认证 或 内 置 Portal 认证 ， 则 不 能 在 该 接口 所 加 入 
VLAN 的 VLANIF 接口 上 执行 本 命令 





使 能 内 置 Portal 服务 器 的 Portal 认证 功能 





全 局 使 能 设备 的 内 置 Portal 服务 器 功能 。 命令 中 的 参数 说 
明 如 下 。 

(1) ssl-policy policy-name: 指定 内 四 Portal 服务 器 使 用 
的 SSL 策略 〈 此 策略 必须 已 创建 )， 为 1 一 23 个 字符 ， 区 
分 大 小 写 ， 不 支持 空格 

(2) port port-num:; 可 选 参数 , 指定 https 协议 使 用 的 TCP 
端口 号 ， 取 值 范围 为 1 一 65 535 的 整数 。 如 果 不 选 择 此 参 
数 ， 则 端口 号 为 缺 省 值 TCP 443 

缺 省 情况 下 ， 未 使 能 设备 的 内 置 Portal 服务 器 功能 ， 可 
用 undo portal local-server 命令 去 使 能 内 置 Portal 服务 
器 功能 


portal local-server https ssl-policy 
policy-name [ port port-num ] 
例如 : [HUAWEIjportal local-server 
https ssl-policy abc 








portal local-server enable 

interface { interface-type 

interface-numberl [to interface- | 在 系统 视图 下 批量 使 能 多 个 接口 的 Portal 认证 功能 , 但 此 
number2 ] } &<1-10> 时 的 接口 仅 可 为 二 层 接口 ; 如 果 要 在 VLANIF 接口 下 使 能 
例如 : [HUAWEI]portal Portal 认证 功能 ， 则 只 能 使 用 下 面 第 5 步 进行 配置 
local-server enable interface 

gigabitethernet 0/0/1 

interface interface-type interface-n 

umber (可 选 ) 键入 要 使 能 Portal 认证 功能 的 接口 (可 以 是 物理 
例如 ; [HUAWEI]interface 接口 ， 也 可 以 是 VLANIF 接口 )， 进 入 接口 视图 
gigabitethernet 0/0/1 

portal local-server enable (可 选 ) 在 以 上 接口 下 使 能 Portal 认证 功能 

例如 : [HUAWEI- 缺 省 情况 下 ， 未 使 能 接口 的 Portal 认证 功能 ， 可 用 undo 
GigabitEthernet0/0/1] portal portal local-server enable 命令 去 使 能 以 上 接口 的 Portal 
local-server enable 认证 功能 





18.4.3 〈 可 选 ) 配置 与 Portal 服 务 器 信息 交互 参数 











如 果 Portal 服 务 器 为 外 置 Portal 服 务 器 ， 则 可 通过 配置 设备 与 Portal 服 务 器 信息 交互 参数 ， 以 达到 设备 与 





外 置 Portal 服 务 器 之 间 了 








E 常 通信 同时 提高 信息 交互 安全 性 的 目的 。 具 体 的 配置 步骤 如 表 18-26 所 示 。 


表 18-26 与 Portal 服 务 器 信息 交互 参数 的 配置 步 又 


System-view 

例如 : <HUAWEI> system-view 
web-auth-server version v2[ vl ] 
例如 : [HUAWEI] web-auth-server 
version v2 

web-auth-server listening-port 
port-number 

例如 : [HUAWEI] web-auth-server 
listening-port 2020 


web-auth-server reply-message 
例如 : [HUAWEI] web-auth-server 
reply-message 


web-auth-server server-name 
例如 : [HUAWEI] web-auth-server 
huawei 


进入 系统 视图 


配置 设备 支持 的 Portal 协议 版 本 
缺 省 情况 下 , 设备 同时 支持 v2 与 vl 版 本 , 建议 采用 缺 省 配置 


配置 设备 侦 听 Portal 协议 报 文 的 端口 号 ， 取 值 范围 为 1 一 
65 535 的 整数 

缺 省 情况 下 ， 设 备 侦 听 Portal 协议 报 文 的 端口 号 为 2000， 
可 用 web-auth-server listening-port 命令 恢复 为 氧 省 值 

使 能 将 认证 服务 器 回应 的 用 户 认证 信息 透 传 给 Portal 服务 
器 的 功能 

缺 省 情况 下 , 设备 已 使 能 将 认证 服务 器 回应 的 用 户 认证 信 
息 透 传 给 Portal 服务 器 的 功能 ， 可 用 undo web-auth- 
server reply-message 命令 去 使 能 将 认证 服务 器 回应 的 用 
户 认 证 信息 透 传 给 Portal 服务 器 的 功能 


键入 要 配置 与 Portal 服务 器 信息 交互 参数 的 Portal 服务 器 
模板 ， 进 入 Portal 服务 器 模板 视图 





source-ip ip-address 


例如 : [HUAWEI-web-auth-server- 
huawei] source-ip 10.10.10.1 


配置 设备 与 Portal 服务 器 通信 的 源 地 址 
缺 省 情况 下 ， 未 配置 设备 与 Portal 服务 器 通信 的 源 他 地 址 





port port-mamber [ all] 
例如 :; [HUAWEI-web-auth-server- 
huawei] port 1000 


shared-key | cipher | simple } 
key-string 

例如 : [HUAWEI-web-auth-server- 
huawei] shared-key simple hello 





配置 向 Portal 服务 器 发 送 报 文 时 使 用 的 目的 端口 号 。 命 令 
中 的 参数 和 选项 说 明 如 下 。 

(1) port-number: 指定 设备 主动 向 认证 服务 器 发 送 UDP 
报 文 时 封装 UDP 报 文 的 目的 端口 号 ， 取 值 范围 为 1 一 
65 535 的 整数 

(2) all: 可 选项 ， 指 定 设备 在 封装 UDP 报 文 时 总 是 使 用 
port-number 参数 值 作为 目的 端口 号 

缺 省 情况 下 ， 设 备 向 Portal 服务 器 发 送 报 文 时 使 用 的 目的 端 
口号 为 50100， 可 用 undo port [ all ] 命 令 恢复 为 缺 省 值 
配置 设备 与 Portal 服务 器 信息 交互 的 共享 密 钥 。 命 令 中 的 
参数 说 明 如 下 。 

(1) cipher: 二 选 一 选项 ， 指 定 以 密 文 形式 显示 共享 密 钥 
(2) simple: 二 选 一 选项 ， 指 定 以 明文 形式 显示 共享 密 蚀 
(3) key-string: 指定 共享 密 钥 ， 如 果 选 择 simple 选项 ， 
则 为 1 一 16 位 的 明文 密码 ; 如 果 选 择 cipher 选项 , 则 可 以 
是 32 位 的 密 文 密码 ， 也 可 以 是 长 度 范 围 是 1 一 16 位 明文 
密码 

缺 省 情况 下 ， 未 配置 设备 与 Portal 服务 器 信息 交互 的 共享 
密 铀 ， 可 用 undo shared-key 命令 删除 配置 的 共享 密 铀 





18.4.4 〈 可 选 ) Portalii 完 制 | 参 


























在 Portal 认 证 网 络 的 部 署 中 ， 通 过 配置 Portal 认 证 用 户 的 接 入 控制 参数 可 以 灵活 地 控制 接 入 用 户 。 辟 如 通 
过 配置 Portal 认 证 用 户 的 免 认 证 规则 可 使 特定 的 用 户 不 经 过 认证 或 认证 失败 的 情况 下 能 够 访问 特定 的 网 络 资 
源 ;， 通过 配置 Portal 认 证 的 源 认证 网 段 ， 能 够 控制 设备 仅 对 源 认证 网 段 内 的 用 户 进 行 Portal 认证 ， 而 其 他 网 
段 的 用 户 不 能 够 通过 Portal 认 证 接 入 网 络 。 

Portal 认 证 用 户 接 入 控制 参数 的 配置 步 又 如 表 18-27 所 示 。 























表 18-27 Portal 认 证 用 户 接 入 控制 参数 的 配置 步骤 





| 


System-view * 


配置 外 和 置 Portal 服务 器 的 Portal 认证 用 户 接 入 控制 参数 


portal free-rule mie-id 

{ destination { any | ip { ip- 
address mask { mask-length | ip- 
mask} |any } } lsource {any | 
{ interface interface-type 
imterface-number | ip { ip-address 
mask { mask-length | ip-mask } | 
any } |vlan vian-id } } }" 

或 ( 仅 S5700HI、S5710E1 和 
S6700 支持 ) 

portal free-rule rule-id source 
ip ip-address mask { mask-length | 
ip-mask} [mae mac-address ] 
[interfaceinterface-type interfa 
ce-number ] destination user- 
group group-name 

例 如 : [HUAWEI] portal 
free-rule 0 source ip 2.2,100.0 
mask 24 destination user-group 
static-user 


Portal max-user user-number 
例如 ; [HUAWEI] portal 
max-user 50 


配置 Portal 认证 用 户 的 免 认 证 规则 。portal 认证 用 户 在 认 
证 成 功 之 前 ,无 法 访问 网 络 。 通 过 配置 免 认 证 规则 
(free-rule) 则 可 使 特定 的 用 户 无 需 通 过 portal 认证 即 可 访 
问 网 络 中 的 特定 资源 。 用 户 免 认 证 规则 由 IP 地 址 、MAC 
地 址 、 所 连接 设备 的 接口 与 VLAN 以 及 用 户 组 等 参数 确 
定 。 命 令 中 的 参数 和 选项 说 明 如 下 。 

(1) rule-id: 指定 Portal 认证 用 户 免 认证 规则 的 序号 ,不 
同系 列 的 取 值 范围 不 一 样 

(2) destination: 指定 Portal 认证 用 户 免 认 证 即 可 访问 的 
目的 网 络 资 源 

(3) source: 指定 免 认 证 即 可 访问 目的 网 络 资源 的 Portal 
认证 用 户 来 源 

(4) any: 指定 可 以 是 任何 条 件 。 与 不 同 的 关键 字 组 合 ， 
具有 不 同 的 影响 范围 

(5) ip-address: 指定 IP 地 址 ， 与 不 同 的 关键 字 组 合 ， 可 
以 是 指 源 地 址 或 目的 地 址 

(6) mask-length: 二 选 一 参数 ， 指 定 以 上 IP 地 址 的 子 网 
掩 码 长 度 ， 与 不 同 的 关键 字 组 合 ， 可 以 是 指 源 地 址 掩 码 
或 目的 地 址 掩 码 长 度 

(7) 训 -mask: 二 选 一 参数 ， 指 定 以 上 IP 地 址 的 子 网 掩 码 ， 
与 不 同 的 关键 字 组 合 ,可 以 是 指 源 地 址 手 码 或 目的 地 址 掩 码 
(8) interfaceinterface-pype interface-number: 指定 规则 中 
源 的 接口 类 型 和 接口 编号 ， 但 必须 属于 vlan-id 参数 指定 
的 VLAN 中 

(9)vlan-id: 指定 规则 中 源 报 文 的 VLAN, 取 值 范围 为 1 一 
4 094 的 整数 

(10) all: 指定 所 有 规则 

(11) mae mac-address: 指定 免 认 证 就 能 够 访问 目的 网 络 
资源 的 Portal 认证 用 户 的 MAC 地 址 

(12) user-group group-name: 指定 Portal 认证 用 户 允 许 访 
问 的 网 络 资源 为 用 户 组 内 定义 的 访问 权限 内 的 网 络 资源 
使 用 本 命令 配置 多 条 免 认 证 规则 ， 可 累计 生效 ， 逐 条 匹 
配 。 缺 省 情况 下 ， 未 配置 Portal 认证 用 户 的 免 认 证 规则 ， 
可 用 undo portal free-rule { rule-id | all } 命令 删除 指定 或 
所 有 已 配置 的 Portal 认证 用 户 的 免 认 证 规则 

配置 允许 接 入 的 最 大 Portal 认证 用 户 数 ， 不 同系 列 的 取 
值 范 围 不 同 

缺 省 情况 下 ， 在 规格 范围 内 ,设备 允许 接 入 的 最 大 Portal 
认证 用 户 数 没有 限制 , 可 用 undo portal max-user 命令 恢 
复 为 缺 省 情况 








命令 说 明 


interface vlanif vian-id 
键入 要 配置 Portal 认证 源 认证 网 段 和 强制 认证 域名 芯 
例如 : [HUAWEI] interface VLANIF 接口 ， 进 入 接口 视图 


vlanif 10 

在 以 上 VLAN 接口 下 配置 Portal 认证 的 源 认 证 网 段 ， 也 
就 是 要 对 哪个 网 段 的 用 户 进行 认证 。 命 令 中 的 参数 说 明 
如 下 。 
portal auth-network e network-address: 指定 要 进行 Portal 认证 的 网 段 IP 地 址 
network-address { mask-length| |®{ mask-length | mask-address }: 指定 以 上 网 段 IP 地 址 
mask-address } 的 子 网 抢 码 长 度 或 子 网 掩 码 
例如 : [HUAWEI-Vlanif10] 缺 省 情况 下 , 源 认证 网 段 为 0.0.0.0/0, 表示 对 所 有 网 段 的 
portal auth-network 用 户 痢 进行 认证 ， 可 用 undo portal auth-network 
192.168.1.0 24 { network-address { mask-length | mask-address } | all } 命 
邻 恢复 为 缺 省 情况 。 但 该 命令 仅 对 三 层 Portal 认证 方式 
有 效 ， 二 层 Portal 认证 方式 将 对 所 有 网 段 的 用 户 都 进行 
认证 
在 以 上 VLANIF 接口 上 配置 Portal 强制 认证 域名 。 参 数 
domain-name 用 来 指定 Portal 强制 认证 域名 , 为 1 一 64 的 
字符 ， 分 大 小 写 ， 不 支持 空格 ， 不 能 使 用 星 号 “*”、 
问号 “2” 引号“ E 符 
通过 配置 Portal 强 i 认 证 域名 ， 可 使 所 有 从 该 接口 接 入 
的 Portal 认证 用 户 被 强制 使 用 指定 的 认证 域 来 进行 认证 、 
授权 和 计 费 。 即 使 Portal 用 户 输入 的 用 户 名 中 携带 的 域 
名 相同 ， 设 备 管理 员 也 可 以 通过 该 配置 对 不 同 接 [ ] 接 入 
的 Portal 认证 用 户 指定 不 同 的 认证 域 ， 从 而 增加 了 管理 
员 部 团 Portal 接 入 策略 的 灵活 性 
缺 省 情况 下 ， 未 配置 Portal 强制 认证 域名 ， 可 用 undo 
portal domain 命令 删除 Portal 强制 认证 域名 
配置 内 置 Portal 服务 器 的 Portal 认证 用 户 接 入 控制 参数 
配置 内 置 Portal 服务 器 对 Portal 认证 用 户 的 认证 方式 。, 命 
令 中 的 选项 说 明 如 下 。 
portal local-server (1)ehap: 二 选 一 选项 ,指定 内 置 Portal 服务 器 通过 CHAP 
RE { chap | 方式 对 portal 认证 用 户 进行 认证 
i (2) pap: 0 
ea eenver 方式 对 portal 认证 用 户 进 行 认证 
authentication-method pap 缺 省 情况 下 ， 内 置 Portal 服务 器 对 Portal 认证 用 户 采 用 
CHAP 方式 进行 认证 ， 可 用 undo portal local-server 
authentication-method 命令 恢复 为 缺 省 的 CHAP 认证 方式 


【示例 1】 配 置 所 有 portal 用 户 可 以 免 认 证 访问 IP 地 址 为 10.1.1.1/24 的 网 络 。 
<HUAWEI>system-view 
[HUAWEI] portal free-rule 1 destination ip10.1.1.1 mask24 source ip any 
【示例 2】 配 置 网 段 2.2.100.0/24 中 的 实验 室 设备 归属 到 用 户 组 static-user， 无 需 认 证 即 可 获取 访问 全 部 
网 络 权 限 。 
<HUAWEI>system-view 
[HUAWEI] acl number 3100 
[HUAWEI-acl-adv-3100] rule5 permit ip 
[HUAWEI-acl-adv-3100] quit 
[HUAWEI] user-group static-user 
[HUAWEI-user-group-static-user] acl-id 3100 
[HUAWEI-user-group-static-user] quit 














portal domain domain-name 
例如 ; [HUAWEI-Vlanif10] 
portal domain abc 





























[HUAWEI] user-group static-user enable 
[HUAWEI] portal free-rule 0 source ip2.2.100.0 mask24destination user-group static-user 


18.4.5 〈 可 选 ) 配置 Portal 认 证 用 户 下 线 探测 周期 











对 于 Portal 认 证 用 户 ， 如 果 由 于 断 电 、 网 络 异 常 断 开 等 缘故 造成 用 户 下 线 ， 此 时 设备 与 Portal 服 务 器 上 可 
能 仍 保存 该 用 户 信 息 ， 这 将 会 造成 计 费 不 准 等 问题 。 男 一 方面 ， 由 于 设备 允许 接 入 的 用 户 数 是 有 限 的 ， 



























































源 。 但 本 功能 

















用 户 异 常 下 线 但 
周期 后 ， 如 果 用 户 在 探测 周 
该 用 户 信 息 ， 并 释放 其 占用 的 资 
务 器 环境 。 

配置 Portal 认证 用 户 下 线 探测 周 





























time-length 命 令 配 置 即 可 。 取 值 范 











mn 





18.4.6 (可 选 ) 配置 Portal 认 证 探测 
































障 ， 则 会 造成 
测 和 逃生 功能 ， 





新 的 Portal 认证 




















j 户 无 法 上 线 ， 已 经 在 线 的 Portal ) 
使 在 网 络 故障 或 Portal 服 务 器 无 法 正 








一 定 的 网 络 访问 权限 ， 同 时 通过 日 





设备 上 仍 保存 用 户 信息 ， 则 可 能 导致 其 他 用 户 不 能 接 入 网 络 。 配 置 Portal 认 证 / 




















期 的 方法 很 简单 ， 只 需 在 系统 视图 

















户 下 线 探测 





期 内 没有 回应 ， 则 设备 认为 该 用 户 已 下 线 。 之 后 设备 与 认证 服务 器 会 及 时 清除 
适用 于 二 层 Portal 认 证 方式 ， 

















同时 仪 适 / 





] 于 外 置 Portal 服 








下 使 用 portal timer offline-detect 





站 为 30 一 7 200 的 整数 秒 ， 缺 省 情况 下 ， 下 线 探测 周 
与 逃生 功能 











期 为 300s。 


在 Portal 认 证 中 ， 如 果 设 备 与 Portal 服 务 器 之 间 出 现 网 络 故障 导致 通信 中 断 或 者 Portal 服务 器 本 映 出 现 故 





























ns 























是 


Portal 认 证 探测 与 逃生 功能 的 配置 步 又 如 表 18-28 所 示 。 





表 18-28 Portal 认 订 











作 的 情况 下 让 月 
志和 Trap 的 方式 报告 故障 。 但 本 功能 仅 适 | 











] 户 也 无 法 正常 下 线 。 这 时 可 配置 Portal 探 
目 户 仍然 和 






































E 够 正常 使 用 网 络 ， 并 具有 
于 外 置 Portal 服 务 器 环境 


























探测 与 逃生 功能 的 配置 步骤 


| 








system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





huawei 


web-auth-server server-name 
9 例如 : [HUAWEI] web-auth-server 


进入 指定 的 Portal 服务 器 模板 视图 





server-detect { interval interval- 
period | max-times times | critical-n 
um critical-num | action { log | tr 


和 ap | permit-alll }“ 


例如 : 





[HUAWEI] server-detect 
interval 100 max-times 5 
critical-num 3 action permit-all 




















使 能 Portal 服务 器 探测 与 逃生 功能 。 


说 明 如 下 : 

(1) interval interval-period: 

务 器 的 探测 周期 ， 取 值 范 围 为 30 一 65 535 的 整数 秒 ， 
省 值 为 60s 

(2) max-times times: 可 多 选 参 数 ， 

器 探测 

省 值 为 3 

(3) critical-num critical-num: 


可 多 选 参数 ， 


命令 中 的 参数 和 选项 


可 多 选 参数 ， 指 定 Portal 服 


缺 


指定 允许 Portal 服务 


失败 的 最 大 次 数 ， 取 值 范围 为 1 一 255 的 整数 ， 缺 


指定 状态 为 





( 续 表 ) 











UP 的 Portal 服务 器 最 小 数目 , 取 值 范 为 为 0 一 128 的 整数 ， 
缺 省 值 为 0 
步骤 命令 说 明 

(4) action: 可 多 选 选项 ， 指 定 Portal 服务 器 探测 失败 次 
数 超过 最 大 次 数 后 的 动作 

server-detect { interval interval- | (5) log: 可 多 选 选项 ,指定 Portal 服务 器 探测 失败 次 数 超 

Period| max-times times | eritical- | 过 最 大 次 数 后 发 送 日 志 

num critical-num | action { log | (6) trap: 可 多 选 选项 ， 指名 定 Portal 服务 器 探测 失败 次 数 

3 trap | permit-alll“ }“ 超过 最 大 次 数 后 发 送 trap 信息 


interval 100 





例如 : [HUAWEI] server-detect 


max-times 5 


critical-num 3 action permit-all 





(7) permit-all: 可 多 选 选项 ， 指定 Portal 服务 器 探测 失败 
次 数 超过 最 大 次 数 后 取消 接口 的 Portal 认证 功能 

缺 省 情况 下 ， 未 使 能 Portal 服务 器 探测 与 逃生 功能 ， 可 用 
undo server-detect [ action { log | trap | permit-all } “] 命 
令 去 使 能 Portal 服务 器 探测 与 逃生 功能 





18.4.7 〈 可 选 ) 配置 Portal 认 证 用 户 信 息 同 步 功能 











障 ， 使 已 经 











= 


























同步 机 千 





| 来 保证 Portal 服 务 器 与 设备 上 用 户 信息 的 一 致 性 ， 


在 Portal 认 证 中 ， 如 果 设 备 与 Portal 服 务 器 之 间 出 现 网 络 故障 导致 通信 中 断 或 Portal 服 务 器 本 身 出 现 故 
在 线 的 Portal 用 户 无 法 正常 下 线 。 这 可 能 会 导致 设备 与 Portal 服务 器 用 户 信 息 不 一 
伍 确 问题 。 此 时 ， 可 以 配置 用 户 信息 








出 现 的 计 费 不 准确 问题 。 








本 功能 仅 适 用 于 外 置 Portal 服 务 器 场景 。 有 具体 的 配置 步骤 如 表 18-29 所 示 。 

















表 18-29 Portal 认 证 | 





命令 











户 信 息 同步 功能 的 配 

















system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





web-auth-server server-name 
例如 : [HUAWEI] web-auth-server 
huawei 


进入 指定 的 Portal 服务 器 模板 视图 





User-sync [ interval interval- 
period | max-times times ] * 
例如 : [HUAWEI]user-syne 
interval 100 max-times 5 











18.4.8 〈 可 选 ) 配置 Portal 认 证 静态 用 户 























a 








在 Portal 认 证 中 ) 有 


些 终端 无 HTTP 访问 能 力 以 致 无 法 主动 进行 Portal 认 证 。 
可 使 静态 用 户 在 接收 到 ARP 报 文 后 自动 触发 ， 使 其 进行 Portal 认 证 。 有 具体 的 配置 步 又 如 表 18-30 所 示 。 


使 能 用 户 信息 同步 功能 。 命 令 中 的 参数 说 明 如 下 。 

(1) interval interval-period: 可 多 选 参 数 ， 指 定 用 户 信息 
同步 周期 ， 取 值 范围 为 30 一 65 535 的 整数 秒 ， 缺 省 值 为 
300s 

(2) max-times times: 可 多 选 参数 ， 指 定 用 户 信息 同步 最 
大 失败 次 数 ， 取 值 范围 为 2 一 255 的 整数 ， 缺 省 值 为 3 
缺 省 情况 下 ， 未 使 能 用 户 信息 同步 功能 ， 可 用 undo 
user-synec 命令 去 使 能 用 户 信息 同步 功能 

































































表 18-30 Portal 认 证 





ee 








j 户 信息 同步 功能 的 配置 步骤 











system-view 
例如 : <HUAWEI> system-view 


进入 系统 视图 





通过 配置 Portal 认 证 静态 用 

















( 续 表 ) 





static-user start-ip-address 

[ end-ip-address | [ vpn-instance 
vpn-instance-name ] [ domain- 
name domain-name | interfacein 
terface-type interface-number 

[ detect ] | mac-address 
mac-address | vlan vlan-id ] * 
例如 : [HUAWEI] static-user 
1.1.1.1 1.1.1.10 domain-name 
huawei vlan 10 


static-user username 
format-include | ip-address | 
mac-address | system-name } 
例如 ; [HUAWEI] static-user 
username format-include 
ip-address 


配置 允许 通过 ARP 报 文 触发 Portal 认证 的 静态 用 户 。 命 
令 中 的 参数 说 明 如 下 。 

(1) start-ip-address [ end-ip-address ]: 指定 静态 用 户 所 属 
的 人 P 地 址 范围 。 如 果 不 选择 end-ip-address 参数 , 则 静态 
用 户 仅 是 下 地 址 为 start-ip-address 的 用 户 

(2) vpn-instance vpn-instance-name: 可 选 参 数 ， 指 定 静 
态 用 户 接 入 的 VPN 实例 的 VPN 实例 名 ， 为 1 一 31 个 字 
符 ， 区 分 大 小 写 ， 不 支持 空格 

(3) domain-name domain-name: 可 多 选 参 数 ， 指 定 葛 态 
用 户 进行 Portal 认证 时 的 认证 域 的 域名 ,为 1 一 64 个 字符 ， 
不 能 包括 空格 、“ “? ”和 “"” 不 能 配置 为 “-” 或 
“一 ”区 分 大 小 写 

(4)interface interface-type interface-number: 可 多 选 
指定 静态 用 户 所 属 接 口 

(5) detect: 可 选项 ， 指 定 允 许 设备 主动 发 送 ARP 报 文 
触发 未 上 线 静 态 用 户 进行 Portal 认证 

(6) mac-address mac-address: 可 多 选 参数 ， 指 定 静态 用 
户 的 MAC 地址， 格式 为 H-H-H， 其 中 日 为 1 至 4 位 的 
十 六 进 制 数 

(7) vlan vlan-id: 可 多 选 参数 ， 指 定 
VLAN， 取 值 范围 为 1 一 4 094 的 整数 
缺 省 情况 下 ， 未 配置 静态 用 户 ， 可 用 undo static-user 
start-ip-address [ end-ip-address ] [ vpn-instance wpn- 
instance-name ] 命 令 删 除 指定 IP 地 址 范围 的 静态 用 户 
配置 静态 用 户 进行 Portal 认证 时 使 用 的 用 户 名 ,命令 中 的 
选项 说 明 如 下 。 
(1) ip-address: 
用 户 IP 地 址 

(2) mac-address: 
为 用 户 MAC 地 址 
(3) system-name: 多 选 一 选项 ， 
为 接 入 设备 的 设备 名 称 。 

缺 省 情况 下 ， 苗 态 用 户 的 用 户 名 为 system-name+ 
ip-address， 如 ， 接 入 设备 名 称 为 huawei， 用 户 的 下 地 
址 为 1.1.1.1， 则 静态 用 户 的 用 户 名 为 : huaweil.1.1.1， 可 
用 undo static-user username format-include 命令 恢复 静 


态 用 户 的 用 户 名 为 缺 省 情况 


参数 ， 


静态 用 户 所 属 的 


多 选 一 选项 ， 指 定 静 态 用 户 的 用 户 名 为 


多 选 一 选项 ， 指 定 静 态 用 户 的 用 户 名 


指定 静态 用 户 的 用 户 名 





18.4.9 Portal 认 证 配置 管理 





























在 完成 Portal 认 订 


F 配 置 后 ， 


(1) display portal [ interfacevlanif interface-number ] : 


static-user 

password cipher password 
例如 : [HUAWEI]static-user 
password cipher huawei 


(2) display web-auth-server configuration: 


(3) display user-group [ group-name ] : 


(4) display access-user user-groupgroup-name: 


采用 外 置 Portal 服 务 器 时 ， 可 使 用 以 下 display 任 意 视 
查看 VLANIF 接 口 下 Portal 认 训 


查看 用 户 组 的 配置 信息 。 


配置 静态 用 户 进行 Portal 认证 时 使 用 的 密码 。 参 数 
password 用 来 指定 静态 用 户 的 密码 ， 且 以 密 文 形式 显示 。 
取 值 范围 可 以 是 1 一 16 位 的 明文 密码 ， 也 可 以 是 32 位 的 
密 文 密码 ， 区 分 大 小 写 ， 字 符 串 中 不 能 包含 “? ”和 空格 
缺 省 情况 下 ， 静 态 用 户 的 密码 为 van， 可 用 undo 
static-user password 命令 恢复 为 馈 省 值 














查看 Portal 认 证 服务 器 相关 的 配置 信息 。 








查看 用 





户 组 内 上 线 用 户 的 信息 。 








网 图 命 和 印信 令 查 看 配置 信息 心 \o 








E 的 配置 








言 息 


日 心 \o 


(5) display static-user [domain-namedomain-name | interface interface-type interface- number1l | ip-address 


start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] : 


采用 内 置 Portal 服 务 器 时 ， 可 使 月 





(2) display portal local-server connect [user-ip ip-address ] : 


接 状 态 。 























查看 静态 用 户 的 信息 。 
有 以 下 display 任 意 视图 命令 查看 配置 信息 。 

(1) display portal local-server: 查看 内 置 Portal 服 务 器 的 配置 信息 。 
查看 内 置 Portal 服 务 器 上 portal 认 证 用 户 的 连 


(3) display static-user [domain-namedomain-name | interface interface-type interface- number1l | ip-address 


start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] : 





查看 静态 用 户 的 信息 。 











下 





18.4.10 内 置 Portal 服 务 器 认证 配置 示例 



























































本 示例 拓扑 结构 如 图 18-11 所 示 ， 某 公司 内 部 大 量 用 户 终端 通过 Switch〈 作 为 接 入 设备 ) 的 GE0/0/1 接 口 
接 入 网 络 。 在 该 网 络 运行 一 段 时 间 后 ， 发 现存 在 用 户 对 网 络 进行 攻击 。 为 确保 网 络 的 安全 性 ， 将 下 地 址 为 
192.168.2.30 的 服务 器 用 作 RADIUS 服 务 器 ， 在 Switch 上 配置 内 置 Portal 服 务 器 认证 功能 (将 一 LoopBack 接 口 
的 IP 地 址 “192.168.1.30” 配 置 为 内 置 Portal 服 务 器 的 IP 地 址 ， 。 只 有 用 户 终 端 通过 认证 后 ，Switch 才 允许 其 访 
问 Internet 中 的 资源 。 
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图 18-11 内 置 Portal 服 务 器 认证 配置 示例 拓扑 结构 


























1. 基本 配置 思 E 
根据 本 示例 的 具体 要 求 可 以 得 出 配置 思路 如 下 〔 均 在 Switch 上 进行 配置 )。 
(1) 创建 并 配置 RADIUS 服 务 器 模板 、AAA 方 案 以 及 ISP 域 ， 并 在 ISP 域 下 绑 定 RADIUS 服 务 器 模板 与 
AAA 方案 。 保 证 了 Switch 与 RADIUS 服务 器 之 间 的 信息 交互 。 
(2) 配置 内 置 Portal 认 证 ， 使 用 户 终端 能 够 通过 Portal 认 证 方式 接 入 网 络 。 
2. 具体 配置 步 又 
(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方 案 以 及 ISP 域 。 这 些 与 前 面 介 绍 的 802.1x 认 证 配置 示例 和 
MAC 认 证 配置 示例 的 配置 方法 一 样 ， 可 对 比 18.2.20 节 和 18.3.8 节 中 的 示例 配置 。 
<HUAWEI>system-view 
[HUAWEH radius-server template rd1 
[HUAWEI-radius-rd1] radius-server authentication 192.168.2.30 1812 
[HUAWEI-radius-rd1] radius-server shared-key cipherhello 
[HUAWEI-radius-rd1] radius-server retransmit 2 
[HUAWEI-radius-rd1] guit 
[HUAWEI] aaa 
[HUAWEI-aaal] authentication-scheme abc 

























































































































































































[HUAWEI-aaa-authen-abc] authentication-mode radius 
[HUAWEI-aaa-authen-abc] quit 

[HUAWEI-aaal] domain isp1 
[HUAWEI-aaa-domain-isp1] authentication-scheme abc 
[HUAWEI-aaa-domain-isp1] radius-server rd1 
[HUAWEI-aaa-domain-isp1] quit 

[HUAWEI-aaa] quit 





(2) 配置 Portal 服 务 器 信息 交互 参数 和 HTTPS 访 问 的 SSL 策 略 。 

[HUAWEH interface loopback 6 

[HUAWEI-LoopBack6] ip address 192.168.1.30 32”#--- 建 一 个 Loopback 接 口 ， 并 配置 该 Loopback 接 口 的 
IP 地 址 

[HUAWEI-LoopBack6] guit 

[HUAWEI] portal local-server ip 192.168.1.30 #--- 置 内 置 Portal 服 务 器 的 PP 地 址 

[HUAWEI] ssl policy huawei 

[HUAWEI-ssl-policy-huawei] certificate load pem-cert cert_rsa_cert.pem key-pair rsa key-file 
cert_rsa_key.pem auth-code cipher 123456@abc #--- 配 置 打 开 内 置 Portal 认 证 网 页 时 所 需 的 SSL 策 略 

[HUAWEI-ssl-policy-huawei] quit 

说 明 
在 为 SSL 策 略 加 载 证书 时 ， 需 确保 设备 上 已 存在 所 需 的 证 书 文件 和 密 钥 对 文件 ， 否则 加 载 不 成 功 。 有 
关 HTTPS 访 问 中 的 SSL 策 略 配置 参见 本 书 第 3 章 3.6.8 节 。 

(3) 在 全 局 和 接 入 接口 上 使 能 内 置 Portal 认 证 功能 。 

[HUAWEI] portal local-server https ssl-policyhuawei 

[HUAWEI] interface gigabitethernet 0/0/1 

[HUAWEI-GigabitEthernet0/0/1] portal local-server enable 

[HUAWEI-GigabitEthernet0/0/1] quit 

配置 好 后 ， 可 通过 display portal local-server 任 意 视图 命令 查看 配置 的 内 置 Portal 服 务 器 的 参数 信息 。 

<HUAWEI>display portal local-server 
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Portal local-server config: 


server status : enable 
server ip : 192.168.1.30 
authentication method : chap 
protocol : https 

https ssl-policy : huawei 

















18.4.11 外 置 Portal 服 务 器 认证 配置 示例 


















































本 示例 拓扑 结构 如 图 18-12 所 示 ， 某 公司 内 部 大 量 用 户 终端 通过 Switch 〈 作 为 接 入 设备 ) 的 GE0/0/1 接 口 
接 入 网 络 。 在 该 网 络 运行 一 段 时 间 后 ， 发 现存 在 用 户 对 网 络 进行 攻击 。 为 确保 网 络 的 安全 性 ， 将 耳 地 址 为 
192.168.2.30 的 服务 器 用 作 RADIUS 服 务 器 后 ， 在 Switch 上 配置 Portal 认 证 功能 ， 并 且 选 取 的 Portal 服 务 器 的 卫 
地 址 为 192.168.3.20， 使 具有 用 户 终端 通过 认证 后 ，Switch 才 允许 其 访问 Internet 中 的 资源 。 
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18-12 外 置 Portal 认 证 服务 器 认证 配置 示例 拓扑 结构 









































1. 基本 配置 思路 
根据 本 示例 的 具体 要 求 可 以 得 出 配置 思路 如 下 “〔〈 均 在 Switch 上 进行 配置 ) 。 
(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方案 以 及 ISP 域 ， 并 在 ISP 域 下 绑 定 RADIUS 服务 器 模板 











































































































与 AAA 方案 。 保 证 了 Switch 与 RADIUS 服务 器 之 间 的 信息 交互 。 





MAC 认 证 和 内 置 Portal 服 务 器 认证 配置 示例 的 配置 方法 一 样 。 


























(2) 创建 并 配置 Portal 服务 器 模板 ， 保 证 设备 与 Portal 服 务 器 的 正常 信息 交互 。 
(3) 使 能 Portal 认 证 功能 ， 对 接 入 用 户 进行 Portal 认 证 。 
(4) 〈 可 选 ) 配置 设备 与 Portal 服 务 器 信息 交互 的 共享 密 钥 ， 增 强 设 备 与 Portal 服 务 器 信息 交互 安全 
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(5) (可 选 ) 配置 允许 接 入 的 最 大 Portal 认 证 用 户 数 ， 限 制 过 多 用 户 同时 接 入 网 络 。 

(6) (可 选 ) 配置 Portal 认 证 用 户 下 线 探测 周期 ， 保 证 设备 能 够 及 时 删除 已 下 线 用 户 的 信息 。 

(7) (可 选 ) 配置 Portal 认 证 探测 与 逃生 功能 ， 使 用 户 在 Portal 服 务 器 出 现 故障 时 能 够 正常 访问 网 络 。 
2. 具体 配置 步 又 
(1) 创建 并 配置 RADIUS 服务 器 模板 、AAA 方 案 以 及 ISP 域 。 同 样 与 前 面 介 绍 的 802.1x 认 证 配置 示例 、 
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<HUAWEI>system-view 

[HUAWEH radius-server template rd1 
[HUAWEI-radius-rd1] radius-server authentication 192.168.2.30 1812 
[HUAWEI-radius-rd1] radius-server shared-key cipherhello 
[HUAWEI-radius-rd1] radius-server retransmit 2 
[HUAWEI-radius-rd1] guit 

[HUAWEI] aaa 

[HUAWEI-aaal] authentication-scheme abc 
[HUAWEI-aaa-authen-abc] authentication-mode radius 
[HUAWEI-aaa-authen-abc] quit 

[HUAWEI-aaa] domain isp1 

[HUAWEI-aaa-domain-isp1] authentication-scheme abc 
[HUAWEI-aaa-domain-isp1] radius-server rd1 
[HUAWEI-aaa-domain-isp1] quit 

[HUAWEI-aaa] quit 











(2) 创建 并 配置 名 称 为 “abc” 的 Portal 服 务 器 模板 。 
[HUAWEI] web-auth-server abc 
[HUAWEI-web-auth-server-abc| server-ip 192.168.3.20 
[HUAWEI-web-auth-server-abc] quit 

(3) 使 能 Portal 认 证 功能 。 
[HUAWEI] interface vlanif 10 
[HUAWEI-Vlanif10] web-auth-server abc direct #--- 采 用 二 层 认证 方式 
[HUAWEI-Vlanif10] quit 

(4) 配置 其 他 可 选 配置 。 
[HUAWEI] web-auth-server abc 
[HUAWEI-web-auth-server-abc] shared-key cipher 12345 #--- 配 置 设备 与 Portal 服 务 器 信息 交互 的 共享 密 

钥 为 12345， 并 以 密 文 形式 显示 

[HUAWEI-web-auth-server-abc] quit 
[HUAWEI] portal max-user100 ”#--- 配 置 允 许 接 入 的 最 大 Portal 认 证 用 户 数 为 100 
[HUAWEI] portal timer offline-detect 500”#--- 配 置 Portal 认 证 用 户 下 线 探测 周期 为 500 秒 

(5) 配置 Portal 认 证 探测 与 逃生 功能 和 用 户 信息 同步 功能 。 
[HUAWEI] web-auth-server abc 
[HUAWEI-web-auth-server-abc] server-detect action log ”#--- 使 能 Portal 认 证 探测 与 逃 9 
[HUAWEI-web-auth-server-abc] user-sync #--- 使 能 用 户 信息 同步 功能 
[HUAWEI-web-auth-server-abc] quit 
[HUAWEI] quit 
配置 好 后 ， 可 通过 display portal 任 意 视 图 命令 检查 在 系统 视图 下 配置 的 Portal 参 数 。 
<HUAWEI>display portal 
Portal timer offline-detect length:500 
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Portal max-user number:100 

Vlanif10 protocol status: up, web-auth-server layer2(direct) 

还 可 执行 display portal interface 命 令 查 看 在 VLANIF 接 口 下 配置 的 Portal 参 数 ， 执 行 display web-auth- 
server configuration 命 令 查 看 Portal 服 务 器 相关 的 配置 信息 。 从 中 可 以 见 到 以 上 全 部 的 Portal 认 证 配置 信息 。 

<HUAWEI>display portal interface vlanif10 



















































































Vlanif10 protocol status: up, web-auth-server layer2(direct) 


<HUAWEI>display web-auth-server configuration 


Listening port : 2000 
Portal : Version 1, version 2 
Include reply message :enabled 


Web-auth-server Name :abc 


IP-address : 192.168.3.20 
Shared-key : 96$9%6$qqZ$ZM:$ig&] T9sSF7KE ~ Xi9oyp%$%$ 
Source-IP Ee 


Port / PortFlag :50100/ NO 


URL 


Redirection : Enable 
Sync : Enable 
Sync Seconds : 300 
Sync Max-times :3 
Detect : Enable 
Detect Seconds :60 
Detect Max-times £3 
Detect Critical-num :0 
Detect Action :log 
Bound Vlanif : 10 


1 Web authentication server(s) in total 
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